באוגוסט 2020 ביטל למעשה בית הדין הגבוה לצדק של האיחוד האירופי, במסגרת החלטתו בנדון את תכנית "מגן הפרטיות" אשר שימשה משך שנים מסגרת עיקרית להעברת מידע אישי ע"י ארגונים מאירופה אל ארה"ב, לעיבוד או אחסון.
בית הדין התנה כל המשך של העברת נתונים כאמור ביישומם של ה-Standard Contractual Clauses, והכיר בהם כמנגנון התקף בנסיבות העניין ובעת הזאת לתכלית זו.
כעת פרסמה ה-European Data Protection Board טיוטת הנחיות, הנחזות כבעייתית ליישום על פניו, בדבר 6 אמצעים משלימים ליישום ה-SCC's:
מיפוי העברות המידע בארגון.
בחירת כלי ה-GDPR המתאים - העיקרי בהם הוא בחינה האם קיימת לגבי המדינות המקבלות מידע כאמור החלטת נאותות של נציבות הפרטיות האירופית (כיום 12 סה"כ, ביניהן - ישראל, שוייץ, יפן, וקנדה).
בחינת השפעת החוקים הרלבנטיים במדינה המקבלת על הגנת המידע המועבר אליה.
במידה שהמדינה המקבלת אינה מספקת רמת הגנת מידע "במידה שווה באופן מהותי" לזו שנהוגה בחוקי האיחוד האירופי - יש לבחון שילוב אמצעים טכנולוגיים נוספים שישוו ביניהן (למשל - הצפנה משמעותית).
במידת הצורך, כאשר לא ודאי שדי באמצעים הנוספים - יש לקבל אישור עבורם מאת רשות הגנת המידע המוסמכת והרלבנטית באיחוד האירופי.
בחינה תקופתית מתמשכת של שינויים בחקיקת המדינה המקבלת - יש לקיים מנגנון נאות להפסקת העברת המידע במידת הצורך, כאשר מקבל המידע בפועל הפר את התחייבותו להגן על המידע או כאשר האמצעים הנוספים שהוטמעו נמצאו כלא אפקטיביים.
EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data:
Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries:
Commentaires