ZRP
Tuca Zbarcea & Asociatii

No-Deal Brexit - Impactul asupra obligațiilor de protecție a datelor

16 Aprilie 2019   |   Marta Popa, Senior Partner Voicu & Filipescu

Grupul nostru de practică pentru protecția datelor și confidențialitate va fi gata și disponibil în cazul în care este necesară asistență cu oricare dintre acțiunile menționate în acest articol. Vă rugăm, în acest caz, să contactați echipa Voicu & Filipescu de protecție a datelor.

Marta Popa, Senior Partner Voicu & Filipescu

 
 
Sinopsis

Un scenariu al ieșirii Regatului Unit din UE fără acord a devenit mai probabil în ultimele zile, dar cele două părți speră incă să evite acest scenariu. În analiza de mai jos, Marta Popa, coordonatorul practicii noastre de protecția datelor, descrie modul în care un Brexit fără acord va afecta obligațiile dvs. de protecție a datelor.


Deși nu se poate garanta care dintre alternativele actuale de ieșire se va materializa (nota noastră: acceptarea de către Marea Britanie a acordului convenit de Theresa May ca fiind "singura cale" pentru ca Marea Britanie să părăsească blocul comunitar într-un mod organizat, sau cel mai dăunător scenariu (no-deal/fără acord), sau o întârziere prelungită a datei de ieșire a Regatului Unit), ce ar însemna un scenariu fără acord în ceea ce privește  obligațiile de protecția datelor?


Atâta timp cât firmele din Regatul Unit vând bunuri și servicii cetățenilor celorlalte 27 de state membre UE și colectează, prelucrează și stochează în mod activ datele cu caracter personal ale cetățenilor UE, vor fi în continuare afectate de GDPR, chiar și după ce ieșirea din UE, deoarece Regulamentul prevede că indiferent de locația firmei dvs., dacă sunteți implicat în prelucrarea datelor cu caracter personal ale cetățenilor UE, trebuie să respectați prevederile GDPR.

Așadar, ce ar trebui exact să faceți în pregătire pentru un Brexit fără acord *?  

❶         Revizuiți fluxurile de date către Regatul Unit din SEE și luați în considerare mecanismele de garanție GDPR pe care va trebui să le puneți în aplicare.

❷         Revizuiți fluxurile de date dinspre Regatul Unit, astfel încât să puteți documenta noul temei juridic pentru aceste transferuri în conformitate cu regulile de transfer din Regatul Unit.

❸         Revizuiți informațiile de confidențialitate și documentația internă pe care le dețineți pentru a identifica detaliile care vor necesita actualizare.

❹         Asigurați-vă că persoanele cheie din organizația dvs. cunosc aceste aspecte și le vor aplica în scenariul "fără acord".

Am analizat mai detaliat aceste elemente, oferindu-vă mai jos perspectiva noastră:

I.        Fluxuri de Date și Instrumente de transfer de date

Ca recunoaștere a gradului de aliniere fără precedent între regimurile de protecție a datelor din Regatul Unit și SEE, companiile sau organizațiile din Regatul Unit vor putea în continuare să trimită date cu caracter personal dinspre Regatul Unit către SEE și țări terțe considerate adecvate de către UE la momentul ieșirii din UE a Regatului Unit.

Cu toate acestea, va exista o schimbare în modul în care datele sunt transferate dinspre SEE către Regatul Unit.

A.        Transferul de date dinspre Regatul Unit către UE/SEE
Toate datele cu caracter personal din Regatul Unit vor putea continua să circule liber în toate statele Uniunii Europene ("UE") și în Spațiul Economic European ("SEE"). Companiile sau organizațiile din Regatul Unit vor trebui să respecte in continuare legislația privind protecția datelor.

B.      Transferul de date dinspre UE/SEE către Regatul Unit
În absența unei decizii de adecvare a UE în favoarea Regatului Unit, va trebui să se instituie o anumită formă de protecție în temeiul Legii privind protecția datelor din 2018 GDPR/UK pentru a proteja transferurile internaționale dinspre UE/SEE către Regatul Unit.

Clauzele Contractuale Standard UE (“CCS”)

În prezent, CEPD (Comitetul European pentru Protecția Datelor) a recunoscut clauzele model sau CCS pentru transferurile operator-operator sau operator-persoană împuternicită de operator. Exportatorul de date UE/SEE, atunci când are calitatea de operator de date cu caracter personal în cadrul UE, ar trebui să se poată baza în siguranță pe CCS atunci când transferă datele cu caracter personal din UE către o organizație din Regatul Unit care poate fi un operator sau o persoană împuternicită.

Cu toate acestea, atunci când acționează în calitate de persoană împuternicită (și nu operator) de date cu caracter personal din UE, entitățile din UE nu pot utiliza CCS, deoarece Comisia Europeană nu a emis CCS aprobate pentru persoană împuternicită - persoană împuternicită. Un mecanism diferit va trebui utilizat în acest scenariu.

Reguli Corporatiste Obligatorii (“RCO”)

Regulile corporatiste obligatorii sunt reguli interne pentru transferul de date în cadrul companiilor multinaționale. Regulile obligatorii ale întreprinderilor sunt ca un cod de conduită, permițând companiilor multinaționale să transfere datele cu caracter personal la nivel internațional în cadrul aceluiași grup de companii în țări care nu oferă un nivel adecvat de protecție (cum ar fi cazul țărilor care nu aparțin UE/SEE).

Regulile corporatiste obligatorii garantează că toate transferurile de date din cadrul unui grup corporativ sunt sigure. Astfel, datele cu caracter personal din UE pot fi transferate în mod liber unei organizații care a obținut aprobarea RCO de la autoritățile relevante de protecție a datelor. Cu toate acestea, există un număr limitat de companii (aproximativ 50 - lista fiind disponibilă la adresa https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en) care au obținut aprobarea de către autoritățile de supraveghere a protecției datelor din UE.

Decizie de adecvare EU

Comisia Europeană are competența de a determina, pe baza articolului 45 din Regulamentul (UE) 2016/679, dacă o țară din afara UE oferă un nivel adecvat de protecție a datelor. Dacă Comisia Europeană emite o decizie oficială de adecvare care să concluzioneze că regimul britanic de protecție a datelor oferă un nivel de protecție "echivalent în esență" cu cel furnizat în UE, aceasta ar însemna că datele cu caracter personal din UE ar putea circula liber între UE/SEE și Regatul Unit. Cu toate acestea, Comisia Europeană a afirmat anterior că o decizie de adecvare nu poate fi luată până când Marea Britanie nu părăsește UE.

În conformitate cu intențiile guvernului britanic, Regulamentul General privind Protecția Datelor (GDPR) va fi introdus în legislația britanică, iar Comisarul pentru Informații (ICO) va rămâne autoritatea independentă de supraveghere  a Regatului Unit privind protecția datelor. Dacă se va întâmpla acest lucru, nu vor exista preocupări semnificative și este probabil să se adopte o decizie de adecvare, deși procesul nu va fi unul rapid.

Derogări

Dacă nu se poate utiliza niciuna din opțiunile de mai sus, se pot invoca o serie de derogări, sub rezerva diferitelor condiții și limitări prevăzute în GDPR, inclusiv: acordul explicit al persoanei vizate; dacă transferul este necesar pentru execuția unui contract între persoana vizată și operator; dacă transferul este necesar din motive importante de interes public; dacă transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în justiție; dacă transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau dacă este vorba de un transfer singular și există un interes legitim determinant.

II.    Desemnarea unui Reprezentant pentru Protecția Datelor în UE

Dacă sunteți un operator sau o persoană împuternicită de un operator din Regatul Unit, care nu este stabilit în SEE și dacă oferiți bunuri sau servicii persoanelor vizate din UE sau organizația dvs. monitorizează comportamentul persoanelor vizate din UE, Art. 27 GDPR vă obligă să desemnați in scris un reprezentant în Uniune ca punct de contact pentru clienți și autorități cu privire la problemele de protecție a datelor.

§    CEPD a clarificat că acest reprezentant în UE nu poate fi un Responsabil cu Protecția Datelor sau una din persoanele împuternicite de dvs. pentru prelucrarea datelor.

§    Datele de contact ale Reprezentantului în UE trebuie incluse în notificările privind confidențialitatea datelor.

§    Datele de contact ale Reprezentantului în UE trebuie comunicate autorității naționale de protecție a datelor.

Voicu Filipescu poate acționa ca reprezentant în Uniune al organizațiilor care nu au sediul în UE, potrivit art. 27 GDPR, urmând să asigure, în baza unui mandat scris, servicii de reprezentare în chestiuni de protecția datelor.

III.          Actualizarea notificărilor de confidențialitate

Ar trebui să vă revizuiți și actualizați documentele de informații privind confidențialitatea datelor pentru a înțelege mai bine fluxurile de date și a marca zonele cu referire la UE pentru a vă pregăti pentru schimbări.

Grupul nostru de practică pentru protecția datelor și confidențialitate va fi gata și disponibil în cazul în care este necesară asistență cu oricare dintre acțiunile menționate în acest articol. Vă rugăm, în acest caz, să contactați echipa Voicu & Filipescu de protecție a datelor.

* Informațiile furnizate în acest document au caracter general și nu reprezintă consultanță juridică pentru analizarea și soluționarea unei probleme juridice specifice. Dacă aveți întrebări specifice cu privire la o anumită situație, vă rugăm să consultați echipa noastră de Protecția Datelor cu privire la faptele și legile care se aplică.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 73 / 11967
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
Cum lucrează avocații Schoenherr specializați în Dreptul Muncii | O gamă variată de mandate în proiecte complexe pentru multinaționale și clienți locali. Tendințele pieței, analizate de Mara Moga - Paler, Head of Employment
LegiTeam: MPR Partners | Maravela, Popescu & Roman is looking for a Litigation Senior Associate
Schoenherr a asistat Greenbridge Partners în achiziția producătorului de mobilă Rus Savitar și a diviziei sale de retail Casa Rusu. Partenerul Mădălina Neagu a coordonat echipa de avocați
Finanțele caută avocați pentru următoarele arbitraje ICSID | Acord cadru pe 4 ani, cu 6 firme. Media tarifelor și numărul de ore|om|litigiu după care se ghidează statul în această procedură
DLA Piper a asistat Green Group într-o finanțare de 66 milioane EUR obținută de la un sindicat bancar. Ce avocați au lucrat în proiect
PNSA a încheiat mai multe proiecte M&A de preluare a participațiilor în companii din agri-business, în S1. Printre mandatele în derulare este și spin-off-ul diviziei zootehnice a unei mari companii | Cristian Popescu, Partener: Agricultura operațională și business-urile integrate beneficiază de un focus relativ ridicat. În agri-business sunt preferate achizițiile de active
Experții CMS, prudenți în privința perspectivelor de tranzacționare pe piața de M&A din regiune | În ciuda faptului că, la nivel european, investitorii au o abordare mai prudentă, în România observăm că apetitul acestora pentru investiții se păstrează la un nivel ridicat, spun avocații echipei din București
Dentons a găzduit cu succes cea de a doua ediție a seminarului privind implementarea Regulamentului General de Protecție a Datelor cu Caracter Personal (GDPR)
Nouă avocați români intră în liga celor mai apreciați specialiști, la nivel global, în domeniul mărcilor. Cine apare în WTR Global Leaders
Instituțiile statului sunt implicate în mii de litigii în instanțele naționale și în zeci de dosare arbitrale. Sumele bugetate și onorariile plătite pentru consultanță și reprezentare juridică
Biriș Goran promovează un nou Partener, un nou Senior Tax Manager și devine primul colaborator din România al Lawyers Associated Worldwide
LegiTeam: VASS Lawyers is looking for a Junior Attorney
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...