ביום 4.2.2023 התפרסמה גרסה מעודכנת של הנחייה 5/2021 של המועצה האירופית להגנת מידע (EDPB) בעניין ייצוא מידע בראי התחולה הטריטוריאלית של ה-GDPR.  

מסמך זה שופך אור על פעולות העברת מידע שעלולות להיחשב כפעולות "ייצוא" תחת הפרק החמישי של ה-GDPR. לקביעה שהעברת מידע היא "ייצוא" יש משמעות רבה, כי ככל שמדובר בהעברה למדינה שאינה Adequate (בהתאם לסעיף 45 ל-GDPR), ההעברה תהיה כרוכה בהחלת מנגנון מאושר אחר. המנגנון הנפוץ ביותר כיום הוא SCC (Standard Contractual Clauses), חוזה אחיד (ללא יכולת שינוי תנאיו, אלא לחומרה בלבד) בעל ארבעה "מודולים" (modules) בהתאם למייצא המידע ומקבל המידע הרלוונטיים, המחיל באופן חוזי את סטנדרט הפרטיות האירופי על מקבל המידע. במקביל, ובטרם העברת המידע, על מייצא המידע יהיה לבחון האם החוק במדינת היעד מספק הגנה ברמה של ה-GDPR. בחינה זו נקראת TIA – Transfer Impact Assessment, בחינה משפטית, שיש לבצעה מישהו שמומחה בדיני המדינה הרלוונטית אליה מועבר המידע. מאחר שכבר במשפט הראשון ה-GDPR מתייחס להגנה מפני עיבוד נתונים כזכות יסוד חוקתית, הבחינה דומה לזו שעושה הנציבות בקביעת הולמות, ומתייחסת לנושאים כמו שלטון החוק, כבוד לזכויות אדם וחירויות יסוד, חקיקה רלוונטית כולל בתחומי בטחון לאומי, עבירות פליליות, גישת הרשויות למידע אישי, הן ברמת החקיקה והן ברמת היישום בפועל. לכן, לקביעה האם העברה נחשבת גם "ייצוא" בהתאם לפרק החמישי ל-GDPR יש משמעות רבה. 

ההנחיות לא מסתפקות בכך, וקובעות שגם במקרים בהם מידע אישי שחל עליו ה GDPR נגיש מחוץ לתחומי אירופה בנסיבות שלא עולות לכדי "ייצוא" (למשל, כאשר עובד חברה ניגש למידע מרחוק בזמן חופשה), עדיין חלות הוראות אחרות של ה-GDPR שמחייבות שמירה על המידע באופן מיוחד. 

ראינו לנכון להביא לידיעת לקוחותינו כמה סיטואציות שהוזכרו בהנחיה זו שלרוב לא רואים בהם באופן אינטואיטיבי ייצוא מידע, אך לעמדתו של ה-EDPB הם נחשבים ייצוא לפי ה-GDPR: 

• גוף שמעבד מידע שחל עליו ה-GDPR מחוץ לאירופה מעביר את המידע לצד שלישי מחוץ לאירופה גם כן (כלומר, ההעברה נעשית בין שני גופים אשר שניהם אינם באירופה – המידע לא יוצא פיזית מאירופה).  
• ספק אירופאי (processor) שמעבד מידע שלא חל עליו ה-GDPR, בעת החזרתו לבעל המידע (controller) שאינו יושב באירופה (כלומר, המידע "נדבק" בחלק מדרישות הייצוא האירופאיות, במסגרתן נדרש לבחון החלת מנגנון ייצוא אירופאי מאושר גם במצב בו המידע לא כפוף ל-GDPR. יש לשים לב שבמקרה בו המנגנון הנבחר הוא SCC, מכיוון שה"מודול" הרלוונטי במקרה כזה הוא מודול 4 המקל, אין צורך יהיה לבצע TIA או להחיל אמצעי הגנה נוספים על המידע, אלא רק לחתום על נוסח ה-SCC הרלוונטי).  

לעומת זאת, הסיטואציות הבאות אינן ייצוא: 

• במקרה בו עובד של חברה נוסע לנסיעת עסקים במדינה אחרת, שיש בה סכנה למידע בשל אפשרות הגישה של גורמי ביון למידע, ומשם מבצע גישה מרחוק (remote access) בלבד למידע אשר נמצא באירופה.  
• חברה אירופאית הכפופה במקביל גם לחוקים זרים אשר מאפשרים גישה לגורמי ביון ואשר עלולים להוות סכנה למידע, למשל כי היא חברה בת של חברה לא-אירופאית.  

בשני המקרים הללו, על אף אי התחולה של הפרק החמישי של ה-GDPR, שמסדיר את ייצוא המידע, נקבע על ידי ה-EDPB כי יש לדאוג להחלת אמצעי הגנה נאותים (safeguards) לשמירה על המידע המועבר, במסגרת הדרישות שחלות על כל גוף שמעבד מידע תחת ה-GDPR. בחינה כזו צריכה להיעשות באופן דומה לבחינה שנעשית לעניין ייצוא מידע למדינה בה יש סכנה למידע, ואמצעי הגנה נאותים צריכים להינקט בהתאם. 

נציין כי ניצנים לעמדות אלה ראינו כבר בעבר, בהתבטאויות אחרות של הרשויות האירופאיות, לדוגמא, בפרסום נוסחי ה-SCC בגרסתם האחרונה או במסגרת החלטות של רגולטורים באירופה שרמזו על כך שגישה של רשות זרה למידע שחל עליו ה-GDPR עלול לעלות לכדי אירוע אבטחה שנדרש לדווח עליו. עם זאת, מסמך זה מבהיר, בצורה שאינה משתמעת לשני פנים, כי תחולתו של פרק ייצוא המידע ב-GDPR רחב יותר משנהוג לחשוב ועל כל העברת מידע להיבחן אד הוק, בהתאם למקרה הספציפי.  

אנו עומדים לרשותכם בכל שאלה,

אייל שגיא, אור רוטר הפילוני וצוות פרטיות בינלאומית במחלקת משפט וטכנולוגיה

האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.