Implica?iile Brexit asupra GDPR
De?i incertitudinea este cuvântul de ordine în ceea ce prive?te ie?irea Marii Britanii din Uniunea Europeana la 31 octombrie 2019, autoritatea de supraveghere a datelor personale din Regatul Unit, Information Commissioner’s Office, desf??oar? campanii de informare a operatorilor de date britanici pentru clarificarea modului în care Brexit-ul va afecta prelucr?rile de date personale ale cet??eniilor UE efectuate de ace?tia, în special în care ie?irea din Uniune nu se va face prin intermediul unui acord UE – UK.
In eventualitatea unui Brexit f?r? acord, cele mai mari provoc?ri le vor avea de înfruntat operatorii de date din Marea Britanie, urmând ca ace?tia sa fie considera?i dup? 31 octombrie operatori de date non-UE.
Care va fi legisla?ia aplicabil? dup? Brexit?
GDPR este un regulament al Uniunii Europene. Aceasta înseamn? c? a devenit un act normativ aplicabil în toate statele membre ale UE (inclusiv în Marea Britanie), inclusiv în statele Spa?iului Economic European – SEE.
Când Marea Britanie va ie?i din UE, GDPR UE nu va mai fi aplicabil în mod direct în Marea Britanie. Cu toate acestea, guvernul britanic va men?ine GDPR în legisla?ia Regatului Unit, cu modific?rile necesare pentru a-?i adapta dispozi?iile pentru Marea Britanie („GDPR UK”).
Principiile, drepturile ?i obliga?iile cheie vor r?mâne acelea?i. Cu toate acestea, exist? implica?ii pentru regulile privind transferurile de date cu caracter personal între Marea Britanie ?i SEE.
Guvernul britanic inten?ioneaz? ca GDPR-ul Regatului Unit s? se aplice ?i operatorilor de date personale ?i împuternici?ilor acestora cu sediul în afara Regatului Unit, dac? activit??ile lor de procesare se refer? fie la oferirea de bunuri sau servicii persoanelor fizice din Marea Britanie, fie la monitorizarea comportamentului persoanelor fizice din Marea Britanie.
Exist?, de asemenea, implica?ii pentru operatorii de date personale din Marea Britanie care au un sediu si în SEE, sau au clien?i în SEE sau monitorizeaz? persoanele din SEE. GDPR UE se va aplica în continuare pentru aceste prelucr?ri de date personale, dar modul în care operatorii britanici interac?ioneaz? cu autorit??ile europene pentru protec?ia datelor se va schimba.
Transferurile de date intre Marea Britanie si SEE dup? Brexit
Autoritatea Europeana de Protec?ie a Datelor (EDPB) a emis înc? din 12 februarie 2019 o informare cu privire la modul în care se vor putea efectua transferuri de date din SEE în Marea Britanie, dup? ie?irea din UE f?r? acord.
In lipsa unui acord pentru Brexit, Regatul Unit va deveni o ?ar? ter?? începând cu 31 octombrie 2019. Acest lucru înseamn? c? transferurile de date personale în Marea Britanie trebuie s? se bazeze pe unul dintre urm?toarele instrumente:
- Clauze contractuale standard sau ad-hoc de protec?ie a datelor
- Reguli corporatiste obligatorii
- Coduri de conduit? ?i mecanisme de certificare
- Derog?ri ce pot fi utilizate numai în absen?a clauzelor standard de protec?ie a datelor sau a unei alte garan?ii alternative adecvate.
Efectele Brexit-ului asupra cerin?elor de conformitate cu GDPR
In situa?ia unui operator de date personale cu sediul în Marea Britanie care nu are o sucursal?, birou sau alt? unitate într-un stat al UE sau SEE, dar care ofera bunuri sau servicii persoanelor fizice din SEE sau monitorizeaz? comportamentul indivizilor afla?i în SEE, atunci acest operator britanic va trebui totu?i s? respecte GDPR cu privire la aceast? prelucrare chiar ?i dup? ce Marea Britanie va p?r?si UE.
Întrucât operatorii de date britanici vor fi considera?i non-SEE dup? Brexit, GDPR prevede obliga?ia de desemnare a unui reprezentant în SEE. Acest reprezentant va trebui s? fie înfiin?at într-un stat UE sau SEE în care sunt localizate unele dintre persoanele ale c?ror date personale pe care le prelucra?i în acest mod. Operatorii britanici vor trebui s? autorizeze, în scris, reprezentantul, s? ac?ioneze în numele lor cu privire la respectarea cerin?elor GDPR ?i s? gestioneze rela?iile cu autorit??ile de supraveghere sau persoanele vizate în acest sens. Reprezentantul poate fi o persoan? fizic? sau o companie sau organiza?ie înfiin?at? în SEE ?i trebuie s? poat? reprezenta operatorul britanic cu privire la toate obliga?iile pe care le are în baza GDPR (de exemplu, o societate de consultan??).
Operatorii britanici vor fi obliga?i s? furnizeze persoanelor cu domiciliul în SEE ale c?ror date personale le prelucreaz?, datele de contact ale reprezentantului desemnat. Acest lucru se poate face prin includerea lor în politica de confiden?ialitate sau în notele de informare furnizate persoanelor fizice atunci când sunt colectate datele lor. De asemenea, datele reprezentantului trebuiesc f?cute u?or accesibil autorit??ilor de supraveghere – de exemplu, publicându-l pe site-ul web. Numirea reprezentantului trebuie s? fie f?cut? obligatoriu în scris ?i ar trebui s? stabileasc? termenii rela?iei operatorului cu acesta. Desemnarea unui reprezentant nu afecteaz? propria responsabilitate sau r?spundere a operatorului în ceea ce prive?te respectarea cerin?elor GDPR.