linkedin
להרשמה לניוזלטר
24.05.2023 עדכון לקוחות
החלטה של רשות הפרטיות האירית בעניין העברת מידע על ידי חברת מטא לארה"ב
אודות תחומי פעילות

ביום 12.05.2023 פורסמה החלטה שהתקבלה על ידי רשות הגנת המידע האירית (DPC) בעניין עמידת חברת מטא (Meta), הבעלים של (בין היתר) Facebook ו-Instagram, בדרישות ה-GDPR לייצוא מידע לארה"ב.

במסגרת ההחלטה נקבע כי קיים סיכון למידע בעת העברתו לארה"ב, ומטא לא עמדה בהוראות ה-GDPR לעניין ייצוא על אף שמטא עשתה שימוש במנגנון מאושר להעברת מידע מחוץ לאירופה – ההסכם האחיד האירופי EU SCC (Standard Contractual Clauses), בנוסחו העדכני, ביצעה Transfer Impact assessment והחילה אמצעים נוספים להגנה על המידע (שכללו שימוש משולב באמצעים טכנולוגיים, ארגוניים ומשפטיים).

החלטת ה-DPC התבססה בין היתר גם על קביעות של ה-EDPB בנושא, אשר ביקשו להחמיר עם מטא בנושא. במסגרת ההחלטה, נקבעו שלוש סנקציות על מטא: (1) הטלת קנס של 1.2 מיליארד אירו – הקנס הגבוה ביותר (!) עד כה שניתן תחת ה-GDPR;
(2) השהיית העברות עתידיות לארה"ב בתוך חמישה חודשים מהודעת ה-DPC למטא אודות ההחלטה; ו-(3) על מטא לדאוג, תוך שישה חודשים מהודעת ה-DPC אודות ההחלטה, להכשיר את כל המידע שכבר הועבר עד כה לארה"ב, כך שיהיה תואם להוראות ה-GDPR בנושא ייצוא (ובפועל – החזרת המידע לאירופה אם לא יעבור ה-EU-US Privacy Framework בתקופת הזמן הזו).

נזכיר כי מנגנון ההסכם האחיד (EU SCC) הוא מנגנון אשר אושר במסגרת החלטת שרמס II של בית הדין הגבוה לצדק של האיחוד האירופי (CJEU), שהתקבלה לפני כשלוש שנים. עם זאת, החלטה זו של ה-DPC (אשר נתמכת כאמור על ידי החלטה מחייבת של ה-EDPB) עלולה לשמוט את הקרקע תחת מנגנון זה ביחס להעברת מידע לארה"ב, לא רק כלפי מטא, אלא כלפי כל גוף אשר מתעתד להעביר מידע מאירופה לארה"ב, ואשר מסתמך על גישת ה-risk based approach (קרי, הסיכוי שמידע שיועבר אכן יהיה נתון לגישה לא מידתית של רשויות הביטחון האמריקאיות הוא נמוך, ועל כן ניתן לקחת את הסיכון להעברה). בפועל, המשמעות העיקרית של החלטה זו היא, ככל הנראה, שהדרך היחידה להעביר מידע לארה"ב ללא סיכון להפרה של ה-GDPR תהיה ה- EU-US Privacy Framework, אשר בתקווה יעבור בקרוב (אם בכלל).

ומה המשמעות בעניין העברה מאירופה למדינות אחרות שאינן בעלות תאימות (adequacy)? ככל הנראה, בעקבות החלטה זו, יהיה קשה עד מאוד להעביר מידע מאירופה אליהן על בסיס ה-SCC, אלא יהיה צורך לבחון שימוש במנגנונים אחרים שה-GDPR מציע. זאת, בעיקר לגבי מדינות שהתאימות שלהן ל-GDPR כבר נבחנה ונפסלה (ונזכיר בנושא את ישראל, אשר החלטת ה-adequacy בעניינה, שעל בסיסה מועבר גם היום מידע מאירופה לישראל ללא מגבלות, עודנה נבחנת בימים אלה, ואשר החלטה לגביה עתידה להינתן בקרוב, החלטה אשר עלולה להשפיע ולהגביל, אם תבוטל, את יכולת ייצוא המידע לישראל מאירופה, בדומה לארה"ב).

אנו עומדים לרשותכם בכל שאלה,

אייל שגיאאור רוטר הפילוני וצוות פרטיות בינלאומית במחלקת משפט וטכנולוגיה

האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.