Lesson 9

Brexit

U siječnju 2020. Velika Britanija je napustila Europsku uniju. Tim trenutkom je nastupilo razdoblje tranzicije koje ističe krajem godine.

Što učiniti i kako poslovati na kraju tranzicijskog perioda

Velika Britanija će zadržati ključna načela, prava i obveze koje proizlaze iz GDPR-a, no bez obzira na implementaciju GDPR-a trenutkom završetka perioda tranzicije Velika Britanija će postati „treća zemlja“.

Period tranzicije završava 31. prosinca 2020. godine, a uzimajući u obzir sve opasnosti cross-border processinga  s tim datumom valja osigurati implementaciju potrebnih mjera.

Kako pripremiti organizacije unutar Europske unije za no-deal Brexit?

Agencija za zaštitu osobnih podataka u svom mišljenu ističe nekoliko koraka i mjera koje organizacije moraju poduzeti kako bi spremne dočekale kraj tranzicijskog perioda i no-deal Brexit.

Prvi korak koji treba poduzeti je identificiranje svih aktivnosti obrade koje zahtijevaju prijenos osobnih podataka u Ujedinjeno Kraljevstvo.

Nakon što organizacija identificira obrade koje uključuju prijenos osobnih podataka u UK tada se ovisno o situaciji pojedine organizacije mora odrediti primjereni instrument prijenosa osobnih podataka.

 Što dalje?

Primjereni instrument prijenosa treba implementirati.

Da vas podsjetimo, mogući instrumenti prijenosa su:

  1. Standardne ugovorene klauzule

Važno je napomenuti kako se navedene klauzule ne mogu mijenjati niti modificirati te moraju biti potpisane upravo u onom sadržaju u kojem su dostupne.

  • Obvezujuća korporativna pravila

Obvezujuća korporativna pravila su zaštitna pravila koja sastavljaju određene grupe poduzetnika ili poduzeća angažirana u zajedničkoj gospodarskoj aktivnosti kako bi ista predstavljala odgovarajuće zaštitne mjere uzimajući u obzir njihovu posebnu situaciju.

Ukoliko već imate odobrena obvezujuća korporativna pravila ili ste dio grupacije koja ih ima, tada se i dalje možete na njih oslanjati budući da su ista i nadalje valjana. Međutim, obvezujuća korporativna pravila moraju biti ažurirana na način da u cijelosti budu u skladu s odredbama GDPR Uredbe.

Ukoliko u ovom trenutku nema obvezujućih korporativnih pravila, ona moraju biti odobrena od strane nadležnog nadzornog tijela, nakon usvajanja mišljenja od strane Europskog odbora za zaštitu podataka.

  • Odobreni kodeksi ponašanja i odobreni mehanizmi certificiranja

Kodeksi ponašanja ili mehanizmi certificiranja mogu predstavljati odgovarajuće zaštitne mjere za prijenose osobnih podataka ukoliko isti sadrže obvezujuće i provedive obveze organizacija u trećim zemljama za dobrobit ispitanika.

Ovi instrumenti su novi te Europski odbor za zaštitu podataka radi na smjernicama kako bi ponudio više objašnjenja o ujednačenim uvjetima i postupcima za uporabu tih alata.

  • Odstupanja za posebne situacije

Ta odstupanja sukladno članku 49. Opće uredbe, između ostalog uključuju sljedeće situacije:

  1. ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;
  2. prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;
  3. prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe
  4. prijenos je nužan iz važnih razloga javnog interesa;
  5. prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;

Sljedeći korak je je u internim dokumentima evidentirati da će se vršiti prijenos podataka u Veliku Britaniju te u svrhu informiranja ispitanika ažurirati Politike Privatnosti.

Osim Agencije za zaštitu osobnih podataka i britansko nadzorno tijelo, ICO također je iznijelo je nekoliko preporuka koje se odnose na poslovanje organizacija nakon završetka tranzicijskog perioda.

Važno je spomenuti da organizacije koje posluju u Ujedinjenom Kraljevstvu moraju uskladiti poslovanje ne samo s GDPR odredbama već i s odredbama britanskih zakona vezanih za zaštitu osobnih podataka.

Za britanske organizacije situacija se značajno mijenja

Ukoliko će organizacija djelovati kao voditelj obrade ili izvršitelj obrade i nakon završetka tranzicijskog perioda, a nema sjedište unutar Europske unije ili unutar EEA, osim što mora nastaviti ispunjavati sve obveze koje proizlaze iz GDPR-a mora poduzeti još nekoliko koraka.

Prvi korak je identificiranje postojećih obrada podataka. Ako se aktivnosti obrade odnose na pružanje dobara i usluga ispitanicima i/ili nadzor i praćenje ponašanja ispitanika unutar EEA te će se nastaviti nakon završetka tranzicijskog perioda organizacija mora imenovati službenika koji će djelovati u ime organizacije u jednoj od zemalja unutar EEA.

Imenovani službenik će postupati s ispitanicima, nadzornim tijelima i brinuti  o implementaciji GDPR-a, a država u kojoj je službenik imenovan mora biti jedna od država u kojoj se većina ispitanika čiji se podaci obrađuju nalaze.

Informacije o imenovanom službeniku moraju biti lako dostupne ispitanicima i nadzornim tijelima. Organizacijama se predlaže revidirati Politike privatnosti i putem Politika privatnosti obavijestiti ispitanike o podacima imenovanog službenika. Također, podatke službenika valja objaviti na web stranici organizacije.

U slučaju obrade podataka koja je povremena, predstavlja nizak rizik za prava ispitanika ili ne obuhvaća veliku količinu posebnih kategorija podataka organizacije sa sjedištem u Velikoj Britaniji nisu dužne imenovati službenika za zaštitu osobnih podataka na području EU odnosno EEA.