No-Deal Brexit - Impactul asupra obligațiilor de protecție a datelor

Sinopsis

Un scenariu al ieșirii Regatului Unit din UE fără acord a devenit mai probabil în ultimele zile, dar cele două părți speră incă să evite acest scenariu. În analiza de mai jos, Marta Popa, coordonatorul practicii noastre de protecția datelor, descrie modul în care un Brexit fără acord va afecta obligațiile dvs. de protecție a datelor.

Deși nu se poate garanta care dintre alternativele actuale de ieșire se va materializa (nota noastră: acceptarea de către Marea Britanie a acordului convenit de Theresa May ca fiind "singura cale" pentru ca Marea Britanie să părăsească blocul comunitar într-un mod organizat, sau cel mai dăunător scenariu (no-deal/fără acord), sau o întârziere prelungită a datei de ieșire a Regatului Unit), ce ar însemna un scenariu fără acord în ceea ce privește  obligațiile de protecția datelor?

Atâta timp cât firmele din Regatul Unit vând bunuri și servicii cetățenilor celorlalte 27 de state membre UE și colectează, prelucrează și stochează în mod activ datele cu caracter personal ale cetățenilor UE, vor fi în continuare afectate de GDPR, chiar și după ce ieșirea din UE, deoarece Regulamentul prevede că indiferent de locația firmei dvs., dacă sunteți implicat în prelucrarea datelor cu caracter personal ale cetățenilor UE, trebuie să respectați prevederile GDPR.

Așadar, ce ar trebui exact să faceți în pregătire pentru un Brexit fără acord *?  

❶         Revizuiți fluxurile de date către Regatul Unit din SEE și luați în considerare mecanismele de garanție GDPR pe care va trebui să le puneți în aplicare.

❷         Revizuiți fluxurile de date dinspre Regatul Unit, astfel încât să puteți documenta noul temei juridic pentru aceste transferuri în conformitate cu regulile de transfer din Regatul Unit.

❸         Revizuiți informațiile de confidențialitate și documentația internă pe care le dețineți pentru a identifica detaliile care vor necesita actualizare.

❹         Asigurați-vă că persoanele cheie din organizația dvs. cunosc aceste aspecte și le vor aplica în scenariul "fără acord".

Am analizat mai detaliat aceste elemente, oferindu-vă mai jos perspectiva noastră:

I.        Fluxuri de Date și Instrumente de transfer de date

Ca recunoaștere a gradului de aliniere fără precedent între regimurile de protecție a datelor din Regatul Unit și SEE, companiile sau organizațiile din Regatul Unit vor putea în continuare să trimită date cu caracter personal dinspre Regatul Unit către SEE și țări terțe considerate adecvate de către UE la momentul ieșirii din UE a Regatului Unit.

Cu toate acestea, va exista o schimbare în modul în care datele sunt transferate dinspre SEE către Regatul Unit.

Toate datele cu caracter personal din Regatul Unit vor putea continua să circule liber în toate statele Uniunii Europene ("UE") și în Spațiul Economic European ("SEE"). Companiile sau organizațiile din Regatul Unit vor trebui să respecte in continuare legislația privind protecția datelor.

În absența unei decizii de adecvare a UE în favoarea Regatului Unit, va trebui să se instituie o anumită formă de protecție în temeiul Legii privind protecția datelor din 2018 GDPR/UK pentru a proteja transferurile internaționale dinspre UE/SEE către Regatul Unit.

Clauzele Contractuale Standard UE (“CCS”)

În prezent, CEPD (Comitetul European pentru Protecția Datelor) a recunoscut clauzele model sau CCS pentru transferurile operator-operator sau operator-persoană împuternicită de operator. Exportatorul de date UE/SEE, atunci când are calitatea de operator de date cu caracter personal în cadrul UE, ar trebui să se poată baza în siguranță pe CCS atunci când transferă datele cu caracter personal din UE către o organizație din Regatul Unit care poate fi un operator sau o persoană împuternicită.

Cu toate acestea, atunci când acționează în calitate de persoană împuternicită (și nu operator) de date cu caracter personal din UE, entitățile din UE nu pot utiliza CCS, deoarece Comisia Europeană nu a emis CCS aprobate pentru persoană împuternicită - persoană împuternicită. Un mecanism diferit va trebui utilizat în acest scenariu.

Reguli Corporatiste Obligatorii (“RCO”)

Regulile corporatiste obligatorii sunt reguli interne pentru transferul de date în cadrul companiilor multinaționale. Regulile obligatorii ale întreprinderilor sunt ca un cod de conduită, permițând companiilor multinaționale să transfere datele cu caracter personal la nivel internațional în cadrul aceluiași grup de companii în țări care nu oferă un nivel adecvat de protecție (cum ar fi cazul țărilor care nu aparțin UE/SEE).

Regulile corporatiste obligatorii garantează că toate transferurile de date din cadrul unui grup corporativ sunt sigure. Astfel, datele cu caracter personal din UE pot fi transferate în mod liber unei organizații care a obținut aprobarea RCO de la autoritățile relevante de protecție a datelor. Cu toate acestea, există un număr limitat de companii (aproximativ 50 - lista fiind disponibilă la adresa https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en) care au obținut aprobarea de către autoritățile de supraveghere a protecției datelor din UE.

Decizie de adecvare EU

Comisia Europeană are competența de a determina, pe baza articolului 45 din Regulamentul (UE) 2016/679, dacă o țară din afara UE oferă un nivel adecvat de protecție a datelor. Dacă Comisia Europeană emite o decizie oficială de adecvare care să concluzioneze că regimul britanic de protecție a datelor oferă un nivel de protecție "echivalent în esență" cu cel furnizat în UE, aceasta ar însemna că datele cu caracter personal din UE ar putea circula liber între UE/SEE și Regatul Unit. Cu toate acestea, Comisia Europeană a afirmat anterior că o decizie de adecvare nu poate fi luată până când Marea Britanie nu părăsește UE.

În conformitate cu intențiile guvernului britanic, Regulamentul General privind Protecția Datelor (GDPR) va fi introdus în legislația britanică, iar Comisarul pentru Informații (ICO) va rămâne autoritatea independentă de supraveghere  a Regatului Unit privind protecția datelor. Dacă se va întâmpla acest lucru, nu vor exista preocupări semnificative și este probabil să se adopte o decizie de adecvare, deși procesul nu va fi unul rapid.

Derogări

Dacă nu se poate utiliza niciuna din opțiunile de mai sus, se pot invoca o serie de derogări, sub rezerva diferitelor condiții și limitări prevăzute în GDPR, inclusiv: acordul explicit al persoanei vizate; dacă transferul este necesar pentru execuția unui contract între persoana vizată și operator; dacă transferul este necesar din motive importante de interes public; dacă transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în justiție; dacă transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau dacă este vorba de un transfer singular și există un interes legitim determinant.

II.    Desemnarea unui Reprezentant pentru Protecția Datelor în UE

Dacă sunteți un operator sau o persoană împuternicită de un operator din Regatul Unit, care nu este stabilit în SEE și dacă oferiți bunuri sau servicii persoanelor vizate din UE sau organizația dvs. monitorizează comportamentul persoanelor vizate din UE, Art. 27 GDPR vă obligă să desemnați in scris un reprezentant în Uniune ca punct de contact pentru clienți și autorități cu privire la problemele de protecție a datelor.


Voicu Filipescu poate acționa ca reprezentant în Uniune al organizațiilor care nu au sediul în UE, potrivit art. 27 GDPR, urmând să asigure, în baza unui mandat scris, servicii de reprezentare în chestiuni de protecția datelor.

III.          Actualizarea notificărilor de confidențialitate

Ar trebui să vă revizuiți și actualizați documentele de informații privind confidențialitatea datelor pentru a înțelege mai bine fluxurile de date și a marca zonele cu referire la UE pentru a vă pregăti pentru schimbări.

Grupul nostru de practică pentru protecția datelor și confidențialitate va fi gata și disponibil în cazul în care este necesară asistență cu oricare dintre acțiunile menționate în acest articol. Vă rugăm, în acest caz, să contactați echipa Voicu & Filipescu de protecție a datelor.