ZRP
Tuca Zbarcea & Asociatii

No-Deal Brexit - Impactul asupra obligațiilor de protecție a datelor

16 Aprilie 2019   |   Marta Popa, Senior Partner Voicu & Filipescu

Grupul nostru de practică pentru protecția datelor și confidențialitate va fi gata și disponibil în cazul în care este necesară asistență cu oricare dintre acțiunile menționate în acest articol. Vă rugăm, în acest caz, să contactați echipa Voicu & Filipescu de protecție a datelor.

Marta Popa, Senior Partner Voicu & Filipescu

 
 
Sinopsis

Un scenariu al ieșirii Regatului Unit din UE fără acord a devenit mai probabil în ultimele zile, dar cele două părți speră incă să evite acest scenariu. În analiza de mai jos, Marta Popa, coordonatorul practicii noastre de protecția datelor, descrie modul în care un Brexit fără acord va afecta obligațiile dvs. de protecție a datelor.


Deși nu se poate garanta care dintre alternativele actuale de ieșire se va materializa (nota noastră: acceptarea de către Marea Britanie a acordului convenit de Theresa May ca fiind "singura cale" pentru ca Marea Britanie să părăsească blocul comunitar într-un mod organizat, sau cel mai dăunător scenariu (no-deal/fără acord), sau o întârziere prelungită a datei de ieșire a Regatului Unit), ce ar însemna un scenariu fără acord în ceea ce privește  obligațiile de protecția datelor?


Atâta timp cât firmele din Regatul Unit vând bunuri și servicii cetățenilor celorlalte 27 de state membre UE și colectează, prelucrează și stochează în mod activ datele cu caracter personal ale cetățenilor UE, vor fi în continuare afectate de GDPR, chiar și după ce ieșirea din UE, deoarece Regulamentul prevede că indiferent de locația firmei dvs., dacă sunteți implicat în prelucrarea datelor cu caracter personal ale cetățenilor UE, trebuie să respectați prevederile GDPR.

Așadar, ce ar trebui exact să faceți în pregătire pentru un Brexit fără acord *?  

❶         Revizuiți fluxurile de date către Regatul Unit din SEE și luați în considerare mecanismele de garanție GDPR pe care va trebui să le puneți în aplicare.

❷         Revizuiți fluxurile de date dinspre Regatul Unit, astfel încât să puteți documenta noul temei juridic pentru aceste transferuri în conformitate cu regulile de transfer din Regatul Unit.

❸         Revizuiți informațiile de confidențialitate și documentația internă pe care le dețineți pentru a identifica detaliile care vor necesita actualizare.

❹         Asigurați-vă că persoanele cheie din organizația dvs. cunosc aceste aspecte și le vor aplica în scenariul "fără acord".

Am analizat mai detaliat aceste elemente, oferindu-vă mai jos perspectiva noastră:

I.        Fluxuri de Date și Instrumente de transfer de date

Ca recunoaștere a gradului de aliniere fără precedent între regimurile de protecție a datelor din Regatul Unit și SEE, companiile sau organizațiile din Regatul Unit vor putea în continuare să trimită date cu caracter personal dinspre Regatul Unit către SEE și țări terțe considerate adecvate de către UE la momentul ieșirii din UE a Regatului Unit.

Cu toate acestea, va exista o schimbare în modul în care datele sunt transferate dinspre SEE către Regatul Unit.

A.        Transferul de date dinspre Regatul Unit către UE/SEE
Toate datele cu caracter personal din Regatul Unit vor putea continua să circule liber în toate statele Uniunii Europene ("UE") și în Spațiul Economic European ("SEE"). Companiile sau organizațiile din Regatul Unit vor trebui să respecte in continuare legislația privind protecția datelor.

B.      Transferul de date dinspre UE/SEE către Regatul Unit
În absența unei decizii de adecvare a UE în favoarea Regatului Unit, va trebui să se instituie o anumită formă de protecție în temeiul Legii privind protecția datelor din 2018 GDPR/UK pentru a proteja transferurile internaționale dinspre UE/SEE către Regatul Unit.

Clauzele Contractuale Standard UE (“CCS”)

În prezent, CEPD (Comitetul European pentru Protecția Datelor) a recunoscut clauzele model sau CCS pentru transferurile operator-operator sau operator-persoană împuternicită de operator. Exportatorul de date UE/SEE, atunci când are calitatea de operator de date cu caracter personal în cadrul UE, ar trebui să se poată baza în siguranță pe CCS atunci când transferă datele cu caracter personal din UE către o organizație din Regatul Unit care poate fi un operator sau o persoană împuternicită.

Cu toate acestea, atunci când acționează în calitate de persoană împuternicită (și nu operator) de date cu caracter personal din UE, entitățile din UE nu pot utiliza CCS, deoarece Comisia Europeană nu a emis CCS aprobate pentru persoană împuternicită - persoană împuternicită. Un mecanism diferit va trebui utilizat în acest scenariu.

Reguli Corporatiste Obligatorii (“RCO”)

Regulile corporatiste obligatorii sunt reguli interne pentru transferul de date în cadrul companiilor multinaționale. Regulile obligatorii ale întreprinderilor sunt ca un cod de conduită, permițând companiilor multinaționale să transfere datele cu caracter personal la nivel internațional în cadrul aceluiași grup de companii în țări care nu oferă un nivel adecvat de protecție (cum ar fi cazul țărilor care nu aparțin UE/SEE).

Regulile corporatiste obligatorii garantează că toate transferurile de date din cadrul unui grup corporativ sunt sigure. Astfel, datele cu caracter personal din UE pot fi transferate în mod liber unei organizații care a obținut aprobarea RCO de la autoritățile relevante de protecție a datelor. Cu toate acestea, există un număr limitat de companii (aproximativ 50 - lista fiind disponibilă la adresa https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en) care au obținut aprobarea de către autoritățile de supraveghere a protecției datelor din UE.

Decizie de adecvare EU

Comisia Europeană are competența de a determina, pe baza articolului 45 din Regulamentul (UE) 2016/679, dacă o țară din afara UE oferă un nivel adecvat de protecție a datelor. Dacă Comisia Europeană emite o decizie oficială de adecvare care să concluzioneze că regimul britanic de protecție a datelor oferă un nivel de protecție "echivalent în esență" cu cel furnizat în UE, aceasta ar însemna că datele cu caracter personal din UE ar putea circula liber între UE/SEE și Regatul Unit. Cu toate acestea, Comisia Europeană a afirmat anterior că o decizie de adecvare nu poate fi luată până când Marea Britanie nu părăsește UE.

În conformitate cu intențiile guvernului britanic, Regulamentul General privind Protecția Datelor (GDPR) va fi introdus în legislația britanică, iar Comisarul pentru Informații (ICO) va rămâne autoritatea independentă de supraveghere  a Regatului Unit privind protecția datelor. Dacă se va întâmpla acest lucru, nu vor exista preocupări semnificative și este probabil să se adopte o decizie de adecvare, deși procesul nu va fi unul rapid.

Derogări

Dacă nu se poate utiliza niciuna din opțiunile de mai sus, se pot invoca o serie de derogări, sub rezerva diferitelor condiții și limitări prevăzute în GDPR, inclusiv: acordul explicit al persoanei vizate; dacă transferul este necesar pentru execuția unui contract între persoana vizată și operator; dacă transferul este necesar din motive importante de interes public; dacă transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în justiție; dacă transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau dacă este vorba de un transfer singular și există un interes legitim determinant.

II.    Desemnarea unui Reprezentant pentru Protecția Datelor în UE

Dacă sunteți un operator sau o persoană împuternicită de un operator din Regatul Unit, care nu este stabilit în SEE și dacă oferiți bunuri sau servicii persoanelor vizate din UE sau organizația dvs. monitorizează comportamentul persoanelor vizate din UE, Art. 27 GDPR vă obligă să desemnați in scris un reprezentant în Uniune ca punct de contact pentru clienți și autorități cu privire la problemele de protecție a datelor.

§    CEPD a clarificat că acest reprezentant în UE nu poate fi un Responsabil cu Protecția Datelor sau una din persoanele împuternicite de dvs. pentru prelucrarea datelor.

§    Datele de contact ale Reprezentantului în UE trebuie incluse în notificările privind confidențialitatea datelor.

§    Datele de contact ale Reprezentantului în UE trebuie comunicate autorității naționale de protecție a datelor.

Voicu Filipescu poate acționa ca reprezentant în Uniune al organizațiilor care nu au sediul în UE, potrivit art. 27 GDPR, urmând să asigure, în baza unui mandat scris, servicii de reprezentare în chestiuni de protecția datelor.

III.          Actualizarea notificărilor de confidențialitate

Ar trebui să vă revizuiți și actualizați documentele de informații privind confidențialitatea datelor pentru a înțelege mai bine fluxurile de date și a marca zonele cu referire la UE pentru a vă pregăti pentru schimbări.

Grupul nostru de practică pentru protecția datelor și confidențialitate va fi gata și disponibil în cazul în care este necesară asistență cu oricare dintre acțiunile menționate în acest articol. Vă rugăm, în acest caz, să contactați echipa Voicu & Filipescu de protecție a datelor.

* Informațiile furnizate în acest document au caracter general și nu reprezintă consultanță juridică pentru analizarea și soluționarea unei probleme juridice specifice. Dacă aveți întrebări specifice cu privire la o anumită situație, vă rugăm să consultați echipa noastră de Protecția Datelor cu privire la faptele și legile care se aplică.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 8542 / 8583
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
De vorbă cu Anne Marie Mateeas, Country Legal Head Novartis, profesionistul pentru care integritatea reprezintă valoarea fundamentală, despre profesia juridică, experiențele acumulate și provocările abordate | “În sfera carierei mele, dezvoltarea unor valori precum respectul profund pentru lege, promovarea transparenței și adoptarea unei abordări centrate pe identificarea și implementarea de soluții eficiente sunt aspecte esențiale care îmi ghidează fiecare decizie și acțiune. Chiar și momentele dificile sau deciziile care s-au dovedit a fi mai puțin potrivite au avut un impact valoros, învățându-mă lecții esențiale”
NNDKP obține poziții de top în clasamentele The Legal 500 EMEA 2024
CMS asistă PPC în achiziția unui parc eolian operațional de 84 MW în România. Mircea Moraru (Corporate M&A) a coordonat echipa, cu sprijinul lui Horea Popescu (Corporate M&A)
Vlad Peligrad s-a desprins din asocierea cu KPMG Legal, unde era partener și lansează o firmă proiectată să asigure întreg spectrul de servicii juridice | Vlad Peligrad, Managing Partner & Founder PeligradLaw: ”Suntem la început, în procesul de formare a echipei. Până la sfârșitul anului firma va avea 8-10 avocați”
LegiTeam: Experienced Lawyer Employment | Reff & Associates
Noi Avocați Colaboratori Seniori în cadrul PNSA. Andra Vieriu și Maria Dima fac un pas înainte în carieră
Stratulat Albulescu obține în prima instanță amendarea Primarului General al Municipiului București pentru neexecutarea unei hotărâri judecătorești definitive. Partenerul Adriana Dobre a coordonat echipa care a obținut una dintre primele decizii judecătorești de acest fel: amendă de 20% din salariul minim brut pe economie pe zi de întârziere, la care se adaugă penalități de 500 lei ̸ zi de întârziere
Rundă amplă de promovări în mai multe arii de practică din cadrul biroului Kinstellar din București. Opt avocați au făcut un pas înainte în carieră | Victor Constantinescu (Managing Partner): ”Recunoaștem în mod oficial contribuțiile colegilor prin aceste promovări. Împărtășesc valorile pe care le avem, s-au dovedit a fi membri de valoare pentru echipa locală și așteptăm cu nerăbdare să îi vedem acumulând noi realizări”
Studiul CMS European M&A 2024 | Piața de fuziuni și achiziții s-a dovedit rezistentă în 2023, CMS acordând consultanță într-un număr record de tranzacții. Horea Popescu, coordonator al practicii Corporate M&A în CEE și Managing Partner al CMS România: “În ciuda unui context plin de provocări, CMS a oferit consultanță în 68 de tranzacții de fuziuni și achiziții în regiune, dintre care peste 50% au fost determinate de intrarea unor investitori strategici pe noi piețe, demonstrând soliditatea practicii noastre în întreaga regiune”
Stratulat Albulescu & Asociații estimează pentru anul 2024 un nivel de activitate, în practica de Real Estate, cel puțin egal cu cel de anul trecut, marcat însă de o anumită expectativă din partea dezvoltatorilor, prudența fiind cuvântul cheie auzit cel mai frecvent de la clienți. Vor exista însă și ferestre de oportunitate care în mod cert vor fi accesate de jucătorii cu un apetit crescut la risc | “Cel mai probabil vom asista, în cursul acestui an, la o deblocare a situației și la o creștere a numărului de tranzacții, chiar și timidă”, spun avocații
O soluție reper a ÎCCJ obținută de D&B David și Baias clarifică modalitatea de calcul a cifrei de afaceri la care se aplică amenzile Consiliului Concurenței
Creștere de doi digiți, anul trecut, pentru Milcev Burbea, firmă recunoscută de ghidurile juridice internaționale pentru practica de proprietate intelectuală | Despre mandatele provocatoare și numeroasele proiecte cu grad ridicat de complexitate, într-o discuție cu Gabriela Milcev (Managing Partner): ”Forța biroului nostru constă într-o abordare echilibrată, croită pe nevoile cazului, combinând, ca într-o rețetă care nu este niciodată aceeași, consultanța și litigiul, precum și persoanele și abordările potrivite pentru apărarea intereselor clientului. Adesea ne confruntăm cu necesitatea de a opera în alte jurisdicții, la nivel internațional”
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...