לאחרונה פרסמה המועצה האירופאית להגנת מידע (ה-EDPB) הצעה לשינוי ההנחיה הקיימת בנושא חובת הדיווח על אירועי אבטחת מידע מכוח תקנת ההגנה על המידע האירופאית, ה-GDPR. ההצעה מוגשת בשלב זה כטיוטה הפתוחה להערות הציבור, ואם תתקבל במתכונתה המוצעת, עשויות להיות לה השלכות אקוטיות עבור חברות ישראליות שה-GDPR חל עליהן מכוח תחולתה האקסטרה-טריטוריאלית, ולהוסיף עליהן הכבדה רגולטורית משמעותית.
כידוע, ה GDPR חל באופן אקסטרה-טריטוריאלי על חברות שמושבן מחוץ לאירופה, אם הן מציעות מוצרים או שירותים לאנשים שנמצאים בתחומי האיחוד או שהן מנטרות התנהגות של נושאי מידע (אנשים) שבתחומי האיחוד. חברות כאלה גם נדרשות למנות נציג במדינה-חברה שרלוונטית לפעילות, אלא אם מדובר בעיבוד לא קבוע (occasional) ובהיקפים מצומצמים.
על פי העדכון המוצע, חברות שאינן אירופאיות שחל עליהן הGDPR, לא יוכלו עוד להסתפק על דיווח אודות אירוע דליפת מידע אצלן לרשות הגנת המידע שבתחומה יושב הנציג שלהן באיחוד האירופאי, כפי שמתווה הEDPB בהנחייתו הנוכחית, אלא יצטרכו לדווח על אירוע אבטחת מידע באופן נפרד לכל אחת מרשויות הגנת המידע באירופה, שבתחום שיפוטן מצויים נושאי מידע שנפגעו מאירוע דליפת המידע.
הטעם לכך הוא שמנגנון ה-one stop shop, אשר מאפשר לגופים אירופאיים להתנהל מול רשות הגנת מידע אחת בתחומי האיחוד האירופי (מקום בו הם מעבדים מידע במספר מדינות בתוך האיחוד, או שיש להם מרכז פעילות עיקרי במדינה חברה אחת) לא חל על חברות שמושבן אינו באירופה אך הן כפופות לGDPR מכוח התחולה האקס-טריטוריאלית.
מעבר להכבדה הברורה, אשר תחייב גופים לא אירופאיים לדווח בנפרד, פוטנציאלית, למספר רב של רשויות להגנת מידע (ולהמחשה, בגרמניה בלבד קיימות 17 רשויות עצמאיות להגנת מידע), ההצעה לא מספקת מענה לשאלות (שבישראל אפשר לסווג כ"שאלות קיטבג") כמו היכן חלה חובת הדיווח במקרה שאין מידע על מדינת מושבם באיחוד של נושאי המידע שמידע אודותם נפגע באירוע. שאלה קריטית עוד יותר היא מי אמור לדווח כאשר לא מונה נציג, שכן אין חובה למנות נציג אם העיבוד אינו קבוע ובהיקף מצומצם כאמור (לפי ההצעה, הנציג אמור לדווח בהתאם להנחיית בעל המידע). ייתכן שזו אמירה שתוביל למסקנה שאם יש לארגון לא אירופאי מידע אישי אירופאי שעלול לדלוף, העיבוד (מונח שכולל כידוע גם אחסון) אינו occasional, כך שאחסון של מידע אירופאי מחוץ לאירופה יחייב למעשה מינוי נציג.
למען האמת, חל כרסום גם במנגנון ה-one stop shop כלפי גופים שמושבם באירופה, שאמורים היו ליהנות ממנו באופן מלא. החלטות מהזמן האחרון של רשויות הגנת מידע באירופה ושל בית הדין האירופי לצדק מלמדות כי מנגנון הone stop shop איננו מהווה מחסום משמעותי עבור רשויות הגנת מידע במדינות החברות באירופה להפעיל את סמכות האכיפה שלהן על גופים הכפופים לGDPR. דוגמה לכך מהשנה האחרונה ניתן לראות בהחלטת הECJ שגיבה את רשות הגנת המידע הבלגית שקנסה את פייסבוק, בטענה לפגיעה בפרטיות נושאי מידע בלגיים על אף שהרשות האחראית (lead supervisory authority) על פייסבוק היא הרשות האירית.
לאור משמעותו הגדולה של השינוי המוצע, אנו מאמינים כי הוא יעורר התנגדויות רבות, אף שהוא מבוסס מבחינה משפטית.
אנו עומדים לרשותכם לכל שאלה,
אייל שגיא, יובל אחיטוב וצוות מחלקת משפט וטכנולוגיה.
האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי, ואין לעשות בו כל שימוש אחר.