בסוף ספטמבר הודיעה ממשלת בריטניה הסכם הלימה חדש עם ארה"ב שנועדה לאפשר זרימת נתונים חוצת גבולות חלקה יותר. בתיאוריה, זה יבטיח שהנתונים האישיים של אזרחי בריטניה המאוחסנים על ידי חברות אמריקאיות עדיין ישמרו על אותה רמה של הגנות GDPR כאילו הם מתגוררים בבריטניה או במדינות האיחוד האירופי. אולי יותר חשוב לעסקים, מה שנקרא "גשר נתונים בריטניה-ארה"ב" אמור לעזור לחברות להפחית את הציות והנטל הרגולטורי שלהן.
מהו גשר הנתונים?
גשר הנתונים של בריטניה-ארה"ב הוא, למעשה, הרחבה של החדש מסגרת פרטיות נתונים של האיחוד האירופי-ארה"ב (DPF), שהוא עצמו היורש של מגן הפרטיות של האיחוד האירופי-ארה"ב שבתי המשפט של האיחוד האירופי ביטלו לאחר פסיקת Schrems II ביולי 2020. מטרתו היא לספק וודאות משפטית לארגונים המעוניינים להעביר נתונים אישיים המכוסים ב- GDPR ו-GDPR של בריטניה לארה"ב באופן שתואם באופן מלא את חוקי הגנת המידע של האיחוד האירופי ובריטניה.
זה יחליף שיטות מסורבלות יותר להעברת נתונים מבריטניה לארה"ב, כגון באמצעות הגרסה הבריטית של סעיפי החוזים הסטנדרטיים, הסכם העברת הנתונים הבינלאומי, או "אמצעי הגנה הולמים" אחרים המתוארים ב-GDPR של בריטניה.
איך זה עובד?
גשר הנתונים החדש של בריטניה-ארה"ב יעבוד בצורה כמעט זהה ל-EU-US DPF. למעשה, ארגונים אמריקאים חייבים כבר להשתתף ב-DPF כדי להיות מסוגלים להשתמש בגשר הנתונים. זה יהיה זמין החל מה-12 באוקטובר 2023, כאשר מאות חברות אמריקאיות כבר הצהירו על כוונתן להשתתף.
ארגונים אמריקאים המוסמכים תחת DPF יכולים פשוט להרחיב את ההסמכה שלהם לכיסוי העברות נתונים מבריטניה על ידי בחירת האפשרות הרלוונטית דרך חשבון DPF המקוון שלהם.
כמה חריגים
רגולטור הפרטיות בבריטניה משרד נציב המידע (ICO) הוציא חוות דעת על גשר הנתונים, שמזהיר שקטגוריות מסוימות של נתונים אינן מטופלות כרגישות במסגרת ה-DPF. לכן, יש להדגיש בפני ארגונים אמריקאים המשתתפים בגשר את הדברים הבאים שיש להתייחס אליהם כרגישים:
- נתוני עבירות פליליות
- נתונים גנטיים
- נתונים ביומטריים המשמשים לזיהוי ייחודי של אדם
- נתונים על נטייה מינית
מה יקרה עכשיו?
לפי אוסבורן קלארק, עסקים המעוניינים להעביר נתונים אישיים מבריטניה לארה"ב צריכים:
- הבן עד כמה הסדרים קיימים עם חברות אמריקאיות יכולים להפיק תועלת מגשר הנתונים החדש. זה ידרוש לבדוק אם אותן חברות אמריקאיות משתתפות, או מתכוונות, בהסכם ולהבטיח שהנתונים שהן מעבירות מכוסים.
- בדוק שוב ועדכן הודעות פרטיות, רישומי עיבוד וחוזים.
- המשך להשתמש ב-International הסכם העברת נתונים או כללי תאגיד מחייבים כאשר בריטניה-ארה"ב גשר נתונים אינו אפשרי.
פיטר צ'רץ', יועץ TMT ב-Linklaters, טוען שגשר הנתונים ייתן לחברות בבריטניה תמריץ נוסף להתמודד עם ספקי שירותים אמריקאים שנרשמו.
"זה מאפשר לעסקים בבריטניה לציית אוטומטית לכללים על העברת נתונים בינלאומיים ללא צורך בצעדים נוספים, כגון ביצוע הערכת סיכונים. זה גם כרוך במאמץ נוסף מינימלי מצד העסקים בבריטניה שכן רוב נטל הציות נופל על הישות האמריקאית", הוא אומר ל-ISMS.online.
"לאחר שאמרתי את זה, יש כמה מוזרויות לעסקים בבריטניה לשים לב אליהן, כמו הצורך לזהות ספציפית נטייה גנטית, ביומטרית, מינית ומידע פלילי כרגיש ובדיקה אם הישות האמריקאית קיבלה התחייבויות ספציפיות בנושא משאבי אנוש לפני ההעברה נתוני משאבי אנוש."
מה זה אומר לעסקים?
גם מומחים אחרים מברכים על עסקת העברת הנתונים החדשה. יואן ג'ולי, שותף ויו"ר של Linklaters' US TMT & Data Solutions Practice, טוען שזה יעזור "לפתוח הזדמנויות כלכליות" ולבנות קשרים טרנס-אטלנטיים חזקים יותר על ידי סיוע בהתאמת תקני הגנת מידע. אלו חדשות טובות עבור כלכלת בריטניה אמרו שווה מעל 150 מיליארד ליש"ט בשנה ומעסיק 1.7 מיליון.
"העסקה מספקת רמה של ודאות משפטית שעסקים כמהים לה. עם קווים מנחים ואמצעי הגנה ברורים להעברה חוצת גבולות של נתונים אישיים, זה יאפשר לחברות לתכנן ולפעול ביתר ביטחון. הוודאות החדשה הזו חיונית במיוחד עבור תעשיות הנשענות על אסטרטגיות מונעות נתונים, כמו טכנולוגיה, מסחר אלקטרוני ושירותים פיננסיים", הוא טוען.
"ההשלכות של הסכם זה על עסקים הן רב-גוניות. ראשית, היא מפשטת את מאמצי הציות על ידי הצעת מסגרת סטנדרטית להעברת נתונים, ומפחיתה את הנטל הרגולטורי על תאגידים רב לאומיים. שנית, זה מעודד המשך השקעה והתרחבות בין בריטניה לארה"ב, כפי שחברות יכולות כעת לנווט פרטיות מידע נושאים בצורה חלקה יותר."
אתגרים משפטיים לפנינו
עדיין לא ברור אם שרמס והצוות המשפטי שלו יאתגרו בהצלחה את ה-DPF המקורי. אבל העובדה שגשר הנתונים הוא רק הרחבה ל-DPF מעידה על כך שהוא יהיה תקף רק כל עוד זה האחרון.
"אם מסגרת פרטיות הנתונים של האיחוד האירופי-ארה"ב תבוטל על ידי ה-CJEU (שוב), ייתכן שחברות בארה"ב פשוט ינטשו את התוכנית וייתכן שממשלת בריטניה תצטרך לסיים את ההארכה בבריטניה כדי לשמר את מעמד ההלימה של בריטניה בכל הנוגע ל- האיחוד האירופי", טוען צ'רץ'.
זו הסיבה שחלקם עדיין ירצו לגדר את ההימורים שלהם, לפי אוסבורן קלארק: "חלק מהעסקים המעבירים נתונים אישיים מבריטניה עשויים עדיין לחפש גישת חגורה ופלטה, תוך הסתמכות הן על גשר הנתונים בריטניה-ארה"ב, כמו גם חלופה מנגנון העברה (כגון נספח הסכם העברת הנתונים הבינלאומי), במיוחד לאור חוסר הוודאות אם מסגרת פרטיות הנתונים של האיחוד האירופי-ארה"ב (וההרחבה של בריטניה אליה) יעמדו באתגר". זה טוען.
