חשבתם שהתכוננתם ל- GDPR? ברקזיט (Brexit) יכול לשנות הכל

כניסתו לתוקף של ה-GDPR בשנת 2018 חייב חברות טק ישראליות עם משרדים, תשתית ארגונית, לקוחות או שירותים באיחוד לערוך שינויים רחוקי לכת בגישתן לשוק האירופי. עדויות מצביעות על כך שמרבית תעשיית ההייטק הישראלית, אחרי השקעה מאסיבית של זמן וכסף, צלחה את האתגר החדש והתאימה את עצמה לסביבה הרגולטורית החדשה באירופה. למרבה הצער, נראה שפרישתה של בריטניה מהאיחוד האירופי (Brexit) עומדת להוסיף עוד דרגה של סיבוך ומורכבות גם לנושא זה, בין שאר השיבושים הצפויים כחלק מהליך הפרידה. במאמר זה אסקור שני אלמנטים חשובים עבור חברות ישראליות שבסיס (או חלק) פעילותן נמצא בבריטניה.

העברת מידע

כיום, וכל עוד בריטניה היא חלק מהאיחוד האירופי, עסקים יכולים להעביר באופן חופשי מידע אישי (Personal Data) בין בריטניה ושאר המדינות החברות באיחוד. כאשר בריטניה תעזוב, נתוני המידע האישי שיישלחו מן האיחוד האירופי ייחשבו כנשלחים ל"מדינה שלישית" (Third Country). האיחוד האירופי הטיל רגולציה מחמירה על אופן העברת מידע אישי ל״מדינה שלישית״ כדי להגן על מידע אישי ורגיש השייך לנשואי מידע (Data Subjects) בתוך האיחוד.

חשוב לציין שחוקים אלו אינם חלים על העברות מידע למדינות ספציפיות שהוכרו על ידי האיחוד (Adequacy Decisions) כעומדות בסטנדרטים המחמירים של ה- GDPR לשמירה על פרטיות – כיום, רשימה מצומצמת עד מאוד, הכוללת את מדינת ישראל.

בעת פרישתה, בריטניה תהפוך ל״מדינה שלישית״ בעיני האיחוד האירופי. ללא תיאום עם האיחוד – ובעיקר בהעדר אישור הסכם המסדיר את הגירושין – הסטטוס החדש של בריטניה עלול לפגוע אנושות ביכולת להעביר אליה מידע המוגן תחת ה-GDPR. בניסיון למנוע את תרחיש יום הדין הזה, ממשלת בריטניה קידמה שלושה צעדים, אך כולם טרם הגיעו לכדי מימוש או פתרון הבעיה:

1. הסכם הפרישה – ההסכם ליציאתה של בריטניה מהאיחוד האירופי (Withdrawal Agreement) ניסה, באופן קצת מעורפל, להסדיר את מעמדה של בריטניה לעניין ה-GDPR ביום לאחר הפרישה. הסכם זה נדחה שלוש פעמים על ידי הפרלמנט הבריטי ועתידו נראה עגום במיוחד.
2. אימוץ נוסח דומה של ה-GDPR – במקביל, הפרלמנט הבריטי אימץ ניסוח דומה של ה-GDPR לחוק הבריטי כבר ב-2018, בתקווה שהשוואת החוק הבריטי הלאומי עם דרישות ה-GDPR האירופי תמחק אי-התאמות בין שתי הרגולציות. עדיין לא ברור אם הצד האירופי יקבל את טענות הבריטים.
3. הכרה רשמית – ממשלת בריטניה הבהירה כי היא תבקש הסכם הכרה על ידי האיחוד (בדיוק כמו ישראל), אשר יבטיח זרימה חלקה של מידע בין בריטניה לבין מדינות האיחוד ללא צורך באמצעים נוספים. עם זאת, לפי חוקי האיחוד, אין אפשרות לגבש סופית או לאכוף הסכם כזה לפני שבריטניה עוזבת. בנוסף, לא מובטח שהצד האירופי יסכים להעניק הכרה לבריטניה ללא הליך ארוך ומייגע. כמובן, הכל פוליטי.

הסוף ל-״One Stop Shop״?

אחת ממטרות ה-GDPR הייתה לצמצם את הנטל הרגולטורי על עסקים המעבדים מידע אישי ביותר ממדינה אחת באיחוד האירופי. המחוקקים לא רצו לאלץ חברה אחת להתמודד עם חקירות מקבילות המתנהלות על ידי רשויות פיקוח במספר מדינות באיחוד. כך, הרעיון מאחורי ה- ״one stop shop״ היה לאפשר לרשות מפקחת מובילה אחת (Lead Supervisory Authority) לקחת אחריות ולתאם את החקירה. ה- GDPR מרשה לחברות שמעבדות מידע אישי ביותר ממדינה אחת באיחוד האירופי למנות את הרשות המפקחת לענייניהם במדינה בה מתנהלת מרבית הפעילות שלהם – לרוב, אך לא תמיד, תהיה זאת המדינה שבה נמצא מטה החברה. מכך יוצא שאם לחברה ישראלית אין בסיס פיזי באיחוד עליה למנות רשות מפקחת מובילה לטפל בענייניה. באופן טבעי, רוב חברות ההייטק הישראליות הפועלות באירופה נתונות לרשות המפקחת הבריטית (ה- ״ICO״) לצרכי ה- GDPR (בין אם יש להם בסיס פיזי באנגליה ובין אם אין להם חברה באירופה כלל אבל הם בחרו למנות את הרגולטור הבריטי).

כיצד הברקזיט ישפיע בתרחיש זה? הרבה עדיין לא ידוע, אך ברור לכולם שאם בריטניה תפרוש מהאיחוד ללא הסכם, ה- ICO הבריטית תפסיק להיות הרשות המפקחת לצרכי ה- GDPR באופן מיידי, דבר שיחייב חברות ישראליות למנות מפקח אחר. אפילו אם האיחוד והבריטים יאשרו בסוף הסכם פרידה המסדיר את תפקוד ה-ICO הבריטי כמסגרת ה-GDPR, סביר מאוד שחברות ישראליות יצטרכו למנות רשות מפקחת מובילה נוספת במדינה אירופית אחרת – בעדיפות גבוהה למדינה שבה מתנהלת אופרציה של החברה – וזאת כדי להימנע מהתמודדות עם רשויות בכל מדינה שבה הם פועלים באופן פרטני. בכל מקרה, חברות ישראליות בבריטניה חייבות לפעול עכשיו כדי לשנות את המודל שלהם לשמירת פרטיות באירופה.

לסיכום: לאור המצב הפוליטי העגום שנוצר עקב פרישתה של בריטניה מהאיחוד האירופי, חברות ישראליות הפועלות בבריטניה חייבות להתכונן בהתאם ובהקדם. ראשית, הבקרזיט עלול להקשות עד מאוד על העברת מידע אישי בין בריטניה ליתר מדינות האיחוד. בנוסף, על עסקים הפועלים מישראל להתכונן למצב שבו הרגולטור הבריטי מאבד חשיבות בעיני האיחוד – וכנראה למנות רגולטור אירופי חדש במדינה אחרת, מהלך שבהמשך עלול לדרוש העברת פעילות, תשתית, עובדים או פתיחת חברה במדינה החדשה.

אירלנד – פתרון מתאים?

גם בתחום ה- GDPR, כמו בשאר הנושאים הקשורים לברקזיט, מדינות אירופה מודות על ההזדמנות לקליטת עסקים שייאלצו לצאת מלונדון במקרה של פרישה ללא הסכם. אירלנד מסתמנת כמועמדת הטיבעית עבור חברות טק (במיוחד אלו שאינן אירופאיות) לצרכי ה- GDPR. הרגולטור האירי מצטייר כנוח במיוחד עבור עסקים גלובליים, בעיקר בזכות:

• שימוש בשפה האנגלית – בעקבות פרישת בריטניה, אירלנד תישאר המדינה דוברת אנגלית היחידה באיחוד;
• ניסיון רב בטיפול בענייניהן של חברות רב לאומיות – כידוע, אירלנד כבר מארחת את המטות האירופאים של אלפי חברות טק, כולל גוגל ופייסבוק;
• גישה פרו-עסקית מובהקת הדוגלת באכיפת כללי ה- GDPR בשיתוף פעולה עם קהילת הטכנולוגיה – יש הטוענים שאירלנד אפילו יוצאת מגדרה כדי לרצות את חברות ההיי-טק הפועלות בתחומה.
  באופן טבעי, אירלנד מאוד מעוניינת להבליט את היתרונות שלה בקרב חברות הייטק ישראליות שעלולות להיפגע מברקזיט. לראייה, הלן דיקסון, העומדת בראש הרגולטור האירי (Irish Data Protection Commissioner), השתתפה ביוני השנה בכנס Cyber Week של אוניברסיטת תל אביב כדי לקדם את אירלנד בעיני עסקים ישראלים.

יש לזכור שהמצב הוא דינמי ונתון לשינוי עד (ואולי מעבר) לתאריך הברקזיט. לכן חשוב לתכנן כבר עכשיו לקראת השינויים העתידים לבוא.