Deși incertitudinea este cuvântul de ordine în ceea ce privește ieșirea Marii Britanii din Uniunea Europeana la 31 octombrie 2019, autoritatea de supraveghere a datelor personale din Regatul Unit, Information Commissioner’s Office, desfășoară campanii de informare a operatorilor de date britanici pentru clarificarea modului în care Brexit-ul va afecta prelucrările de date personale ale cetățeniilor UE efectuate de aceștia, în special în care ieșirea din Uniune nu se va face prin intermediul unui acord UE – UK.

In eventualitatea unui Brexit fără acord, cele mai mari provocări le vor avea de înfruntat operatorii de date din Marea Britanie, urmând ca aceștia sa fie considerați după 31 octombrie operatori de date non-UE.

Care va fi legislația aplicabilă după Brexit?

GDPR este un regulament al Uniunii Europene. Aceasta înseamnă că a devenit un act normativ aplicabil în toate statele membre ale UE (inclusiv în Marea Britanie), inclusiv în statele Spațiului Economic European – SEE.

Când Marea Britanie va ieși din UE, GDPR UE nu va mai fi aplicabil în mod direct în Marea Britanie. Cu toate acestea, guvernul britanic va menține GDPR în legislația Regatului Unit, cu modificările necesare pentru a-și adapta dispozițiile pentru Marea Britanie („GDPR UK”).

Principiile, drepturile și obligațiile cheie vor rămâne aceleași. Cu toate acestea, există implicații pentru regulile privind transferurile de date cu caracter personal între Marea Britanie și SEE.

Guvernul britanic intenționează ca GDPR-ul Regatului Unit să se aplice și operatorilor de date personale și împuterniciților acestora cu sediul în afara Regatului Unit, dacă activitățile lor de procesare se referă fie la oferirea de bunuri sau servicii persoanelor fizice din Marea Britanie, fie la monitorizarea comportamentului persoanelor fizice din Marea Britanie.

Există, de asemenea, implicații pentru operatorii de date personale din Marea Britanie care au un sediu si în SEE, sau au clienți în SEE sau monitorizează persoanele din SEE. GDPR UE se va aplica în continuare pentru aceste prelucrări de date personale, dar modul în care operatorii britanici interacționează cu autoritățile europene pentru protecția datelor se va schimba.

Transferurile de date intre Marea Britanie si SEE după Brexit

Autoritatea Europeana de Protecție a Datelor (EDPB) a emis încă din 12 februarie 2019 o informare cu privire la modul în care se vor putea efectua transferuri de date din SEE în Marea Britanie, după ieșirea din UE fără acord.

In lipsa unui acord pentru Brexit, Regatul Unit va deveni o țară terță începând cu 31 octombrie 2019. Acest lucru înseamnă că transferurile de date personale în Marea Britanie trebuie să se bazeze pe unul dintre următoarele instrumente:

  •  Clauze contractuale standard sau ad-hoc de protecție a datelor 
  •  Reguli corporatiste obligatorii
  •  Coduri de conduită și mecanisme de certificare
  •  Derogări ce pot fi utilizate numai în absența clauzelor standard de protecție a datelor sau a unei alte garanții alternative adecvate.

Efectele Brexit-ului asupra cerințelor de conformitate cu GDPR

In situația unui operator de date personale cu sediul în Marea Britanie care nu are o sucursală, birou sau altă unitate într-un stat al UE sau SEE, dar care ofera bunuri sau servicii persoanelor fizice din SEE sau monitorizează comportamentul indivizilor aflați în SEE, atunci acest operator britanic va trebui totuși să respecte GDPR cu privire la această prelucrare chiar și după ce Marea Britanie va părăsi UE.

Întrucât operatorii de date britanici vor fi considerați non-SEE după Brexit, GDPR prevede obligația de desemnare a unui reprezentant în SEE. Acest reprezentant va trebui să fie înființat într-un stat UE sau SEE în care sunt localizate unele dintre persoanele ale căror date personale pe care le prelucrați în acest mod. Operatorii britanici vor trebui să autorizeze, în scris, reprezentantul, să acționeze în numele lor cu privire la respectarea cerințelor GDPR și să gestioneze relațiile cu autoritățile de supraveghere sau persoanele vizate în acest sens. Reprezentantul poate fi o persoană fizică sau o companie sau organizație înființată în SEE și trebuie să poată reprezenta operatorul britanic cu privire la toate obligațiile pe care le are în baza GDPR (de exemplu, o societate de consultanță).

Operatorii britanici vor fi obligați să furnizeze persoanelor cu domiciliul în SEE ale căror date personale le prelucrează, datele de contact ale reprezentantului desemnat. Acest lucru se poate face prin includerea lor în politica de confidențialitate sau în notele de informare furnizate persoanelor fizice atunci când sunt colectate datele lor. De asemenea, datele reprezentantului trebuiesc făcute ușor accesibil autorităților de supraveghere – de exemplu, publicându-l pe site-ul web. Numirea reprezentantului trebuie să fie făcută obligatoriu în scris și ar trebui să stabilească termenii relației operatorului cu acesta. Desemnarea unui reprezentant nu afectează propria responsabilitate sau răspundere a operatorului în ceea ce privește respectarea cerințelor GDPR.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

%d blogeri au apreciat: