ברקזיט ו- GDPR – מה חברות ישראליות צריכות לדעת?

31 בדצמבר 2020 היה היום האחרון של תקופת המעבר לברקזיט שהחלה ב -1 בינואר 2020, במהלכו בריטניה הפסיקה להיות חלק מהאיחוד האירופי אך המשיכה להיות כפופה לחוק האיחוד האירופי. החל מ -1 בינואר 2021 החוק האירופי כבר לא חל על בריטניה לראשונה מאז 1973.

חוק האיחוד האירופי (נסיגה) 2018 קובע מנגוני אימוץ במסגרתם החוק הבריטי עתיד לאמץ את כל החקיקה של האיחוד האירופי אשר היו בתוקף נכון ל- 31 בדצמבר 2020. עם זאת, מכאן ואילך, בריטניה תהיה רשאית לפרש, לתקן, לבטל ולהחליף חוקים אלה כנדרש לנכון ללא אישור האיחוד האירופי.

GDPR והברקזיט

לעסקים ישראלים אשר מבצעים פעילויות מסוימות במסגרתם נאגרים נתונים אישיים של אנשים הנמצאים באזור הכלכלי האירופי, קרי מדינות האיחוד האירופי בתוספת איסלנד, ליכטנשטיין ונורווגיה (EEA) , התקנה הכללית של האיחוד האירופי להגנת נתונים, או ה- GDPR   שנכנסה לתוקף בשנת 2018 היא רלוונטית מכיוון שהיא מכילה הוראות שמבטיחות שהתקנה תחול על עסקים שאינם מבוססים על אזור ה-EEA בנסיבות מסוימות.

בתמצית, ה –  GDPR מסדיר את מה שניתן לעשות עם הנתונים האישיים של אנשים הנמצאים ב- EEA כולל איסוף והעברת הנתונים האישיים למיקומים מחוץ לאזור ה–EEA.

מעתה, עסקים ישראלים צריכים לבדוק כיצד פרישת בריטניה מהאיחוד האירופי תשפיע על עמידתם ב- GDPR  ואיזו מסגרת רגולטורית תחול על השימוש בנתונים אישיים של אנשים בבריטניה.


UK GDPR

כאמור לעיל, על פי חוק האיחוד האירופי (נסיגה), בריטניה אימצה את ה- GDPR, אך עם מספר שינויים  מינורים יחסית. הגרסה של ה- GDPR שנמצאת כיום בתוקף בבריטניה ידועה בשם ה- UK GDPR. מרבית ההוראות של UK GDPR משקפות את הוראות ה- GDPR, אך נוגעות אך ורק לבריטניה. כך למשל, תקנון 3 של ה- GDPR קובע כי ה- GDPR יחול על בקרה ועיבוד של נתונים אישיים על ידי מוסד קבע הממוקם בתוך ה- EEA, ואילו ה- UK GDPR יחול על בקרה ועיבוד של נתונים אישיים על ידי מוסד קבע בתוך בריטניה.

ביחס לאזורים החוץ טריטוריאליים, ה- UK GDPR חל על כל בקרה או עיבוד של נתונים אישיים שאינם בבריטניה, כאשר העיבוד מתייחס להצעת סחורות או שירותים לאנשים הנמצאים בבריטניה או למעקב אחר התנהגותם של אנשים פרטיים בתוך בריטניה, באופן המקביל להוראה החוץ-טריטוריאלית המקורית של ה- GDPR, בשינויים המחוייבים ותוך התייחסות רק לבריטניה ולא ל- EEA.

שינויים בעקבות הברקזיט

כל עסק ישראלי שפעילותו כפופה ל – GDPR ורוצה להעביר נתונים אישיים של אזרחי EEA לבריטניה, יצטרך לקחת בחשבון שכיוון שבריטניה כבר אינה חלק מה – EEA   העברות כאלה יהיו כפופות לאותה תקנת GDPR  רלוונטית ולמגבלות החלות בעת העברת נתונים אישיים מה EEA לכל מדינה אחרת שאינה EEA.

העברות של נתונים אישיים הנוגעות לאנשים ממדינות ה – EEA עשויות להתבצע למדינות שאינן EEA לגביהן קיבלה נציבות האיחוד האירופי החלטת "הלימות", כלומר האיחוד האירופי רואה בחוקי פרטיות הנתונים במדינה כמגן מספיק על נתונים אישיים כדי שלא ליצור חששות כלשהם לאנשי EEA שהמידע אודותיהם מועבר במסגרת זו.

כאשר אין החלטה על הלימות עבור מדינה שאינה נמנית על מדינות  EEA ניתן יהיה לבצע את העברת המידע רק כאשר ננקטו אמצעי הגנה מסוימים אחרים המפורטים ב GDPR.

היו תקוות כי החלטת הלימות של נציבות האיחוד האירופי בנוגע לבריטניה תהיה קיימת עד ליום 31 בדצמבר 2020, אך זה לא קרה. בהסכם הסחר שהושג בין האיחוד האירופי לבריטניה ב- 24 בדצמבר 2020, האיחוד האירופי ובריטניה הסכימו להארכה של 4 חודשים, בה עדיין ניתן יהיה לבצע העברות מידע בין האיחוד האירופי לבריטניה ללא צורך בהגנות נוספות של הGDPR.

"תקופת חסד" הזו ניתנת להארכה בחודשיים נוספים (6 חודשים סך הכל) והתקווה היא כי בתוך תקופת זמן זו האיחוד האירופי יעניק לבריטניה החלטת הלימות. עם זאת, לאיחוד האירופי יש מספר חששות הנוגעים להבדלים מסוימים בין ה –  GDPR ל UK GDPR, במיוחד בקשר לזכויות שיש לממשלת בריטניה לגישה ולעיבוד נתונים אישיים בקשר לענייני ביטחון לאומי. לפיכך אין כל ערובה כי האיחוד האירופי יתן החלטת הלימה לבריטניה.

לכן, חברות ישראליות המעבירות נתונים אישיים של אזרחי מדינות EEA לבריטניה חייבות לפקוח עין על ההתפתחויות, במיוחד במהלך 4-6 החודשים הקרובים ולהגיב בהתאם. מוטב יהיה לנקוט צעדים במוקדם ולא במאוחר בכדי להקים אמצעי הגנת GDPR מתאימים למקרה שלא תינתן החלטת הלימות בסוף תקופת הארכה. עבור עסקים רבים, ההגנה הרלוונטית ביותר ואולי היחידה הזמינה תהיה כריתת הסכם עם המועברים המיועדים המכיל סעיפים סטנדרטיים שאושרו על ידי האיחוד האירופי המכסים הגנה על נתונים אישיים.

העברת נתונים אישיים מבריטניה ליעדים אחרים

אם עסק ישראלי יצטרך להעביר נתונים אישיים של אנשים בבריטניה ליעד אחר, עליו לקבוע כעת האם העברה זו מותרת על פי UK GDPR.

נכון לעכשיו, הוראות ה UK GDPR משקפות את ה GDPR בנושא העברות בינלאומיות, כלומר חייבת להתקיים החלטת נאותות מממשלת בריטניה הנוגעת למדינת היעד או שיש להשתמש לפחות באחת מההגנות האחרות.

החל מה -1 בינואר 2021, בבריטניה קיימות החלטות הלימות המכסות את כלל המדינות ה –  EEA ומשקפות את החלטות הלימות האיחוד האירופי ליעדים אחרים החל מ- 31 בדצמבר 2020. בהמשך, החלטות הלימות עתידיות של בריטניה לא יהיו קשורות להחלטות האיחוד האירופי.

עסקים שהעבירו נתונים אישיים בבריטניה ליעדים אחרים במסגרת הסכמים עם סעיפי התקן שאושרו על ידי האיחוד האירופי לפני 1 בינואר 2021 , עשויים להמשיך להשתמש באותם סעיפים להעברות החל מה -1 בינואר 2021 ואילך.

לגבי הסכמים חדשים הממשלה הבריטית מתכוונת לפרסם סעיפי תקן משלה בשנת 2021 ועד אז המליצה כי ניתן יהיה להמשיך להשתמש בסעיפי התקן של האיחוד האירופי, בשינויים המחוייבים לבריטניה ולא לאיחוד האירופי וה- EEA.

מינויים של נציגי האיחוד האירופי

ה- GDPR מספק נסיבות בהן עסק שמבוסס מחוץ לEAA יצטרך למנות "נציג האיחוד האירופי".

נציג האיחוד האירופי יצטרך להתבסס לפחות באחת ממדינות ה- EEA ולפעול כנקודת קשר עבור אזרחי EEA המעוניינים ליצור קשר עם עסק שאינו מהאיחוד האירופי בקשר לזכויותיהם הנוגעות לנתונים אישיים בהתאם ל – GDPR.

החל מ -1 בינואר 2021, מינויו של נציג האיחוד האירופי בתחום ה- EEA אינו מכסה את החובה הדומה לפי ה- UK GDPR לעסקים מחוץ לבריטניה למנות נציג מבוסס בבריטניה לפי ה- UK GDPR. לכן, אם עסק ישראלי יבצע פעילות כלשהי שנמצאת תחת ה- UK GDPR, יהיה צורך למנות נציג בבריטניה, בין אם יש להם גם נציג האיחוד האירופי ובין אם לאו.

מדיניות פרטיות והודעות

עסקים ישראלים אשר יבצעו פעילות החוסה תחת ה- GDPR בבריטניה יצטרכו לוודא שמדיניות הפרטיות שלהם מותאמת לבריטניה ויש לקחת בחשבון את הדרישות של הפרטניות של ה -UK GDPR.

עבור עסקים המקיימים ממילא מדיניות תואמת  GDPR הדבר עשוי לדרוש מספר התאמות פשוטות בשלב זה, כך שהמדיניות תתייחס גם לGDPR –  של האיחוד האירופי וגם ל UK GDPR.עם זאת, עם הזמן, מכיוון שחוקי פרטיות של האיחוד האירופי ובריטניה עשויים להשתנות ולהיות מובחנים האחד מן השני, תידרש תשומת לב רבה יותר בכדי להבטיח עמידה בדרישות של שני החוקים השונים.

לסיכום

ההשלכות המיידיות של הברקזיט ביחס לעסקים ישראלים שאוספים ומשתמשים בנתונים אישיים של אנשים באיחוד האירופי ו / או בבריטניה אינם משמעותיים ביותר. עם זאת, ישנם מספר שינויים מסוימים שיש להחיל כבר עתה, ויש לשקול האם למנות נציג בבריטניה או לא.

עם זאת, בהמשך ועם חלוף הזמן, יש להקדיש תשומת לב לכך כי מעתה יש למעשה שתי קבוצות תקנות שונות, שעשויות להיות דומות לעת עתה, אך ככל הנראה במשך הזמן יהיו שינויים רבים ועלולות להיות בעיות תאימות שיש לקחת בחשבון.

עו"ד גיל רוזן, שותף במשרד יוסף שם טוב ושות', מייעץ לעסקים ואנשי עסקים ישראלים בנושאי תאימות GDPR בכלל וUK GDPR  ובבריטניה, וישמח לעמוד לרשותכם בכל שאלה.

לכל החדשות

צרו איתנו קשר

יוסף שם טוב ושות', עורכי דין

מגדל ספיר
קומה 22
רחוב תובל 40
רמת גן 5252247

טלפון: 03-7713880
פקס: 03-7715540
דוא”ל: office@jstlaw.co.il

תנאי שימוש

אוריון שיווק באינטרנט

דילוג לתוכן