Brexit
U siječnju 2020. Velika Britanija je napustila Europsku uniju. Tim trenutkom je nastupilo razdoblje tranzicije koje ističe krajem godine.
Što učiniti i kako poslovati na kraju tranzicijskog perioda
Velika Britanija će zadržati ključna načela, prava i obveze koje proizlaze iz GDPR-a, no bez obzira na implementaciju GDPR-a trenutkom završetka perioda tranzicije Velika Britanija će postati „treća zemlja“.
Period tranzicije završava 31. prosinca 2020. godine, a uzimajući u obzir sve opasnosti cross-border processinga s tim datumom valja osigurati implementaciju potrebnih mjera.
Kako pripremiti organizacije unutar Europske unije za no-deal Brexit?
Agencija za zaštitu osobnih podataka u svom mišljenu ističe nekoliko koraka i mjera koje organizacije moraju poduzeti kako bi spremne dočekale kraj tranzicijskog perioda i no-deal Brexit.
Prvi korak koji treba poduzeti je identificiranje svih aktivnosti obrade koje zahtijevaju prijenos osobnih podataka u Ujedinjeno Kraljevstvo.
Nakon što organizacija identificira obrade koje uključuju prijenos osobnih podataka u UK tada se ovisno o situaciji pojedine organizacije mora odrediti primjereni instrument prijenosa osobnih podataka.
Što dalje?
Primjereni instrument prijenosa treba implementirati.
Da vas podsjetimo, mogući instrumenti prijenosa su:
- Standardne ugovorene klauzule
Važno je napomenuti kako se navedene klauzule ne mogu mijenjati niti modificirati te moraju biti potpisane upravo u onom sadržaju u kojem su dostupne.
- Obvezujuća korporativna pravila
Obvezujuća korporativna pravila su zaštitna pravila koja sastavljaju određene grupe poduzetnika ili poduzeća angažirana u zajedničkoj gospodarskoj aktivnosti kako bi ista predstavljala odgovarajuće zaštitne mjere uzimajući u obzir njihovu posebnu situaciju.
Ukoliko već imate odobrena obvezujuća korporativna pravila ili ste dio grupacije koja ih ima, tada se i dalje možete na njih oslanjati budući da su ista i nadalje valjana. Međutim, obvezujuća korporativna pravila moraju biti ažurirana na način da u cijelosti budu u skladu s odredbama GDPR Uredbe.
Ukoliko u ovom trenutku nema obvezujućih korporativnih pravila, ona moraju biti odobrena od strane nadležnog nadzornog tijela, nakon usvajanja mišljenja od strane Europskog odbora za zaštitu podataka.
- Odobreni kodeksi ponašanja i odobreni mehanizmi certificiranja
Kodeksi ponašanja ili mehanizmi certificiranja mogu predstavljati odgovarajuće zaštitne mjere za prijenose osobnih podataka ukoliko isti sadrže obvezujuće i provedive obveze organizacija u trećim zemljama za dobrobit ispitanika.
Ovi instrumenti su novi te Europski odbor za zaštitu podataka radi na smjernicama kako bi ponudio više objašnjenja o ujednačenim uvjetima i postupcima za uporabu tih alata.
- Odstupanja za posebne situacije
Ta odstupanja sukladno članku 49. Opće uredbe, između ostalog uključuju sljedeće situacije:
- ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;
- prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;
- prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe
- prijenos je nužan iz važnih razloga javnog interesa;
- prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;
Sljedeći korak je je u internim dokumentima evidentirati da će se vršiti prijenos podataka u Veliku Britaniju te u svrhu informiranja ispitanika ažurirati Politike Privatnosti.
Osim Agencije za zaštitu osobnih podataka i britansko nadzorno tijelo, ICO također je iznijelo je nekoliko preporuka koje se odnose na poslovanje organizacija nakon završetka tranzicijskog perioda.
Važno je spomenuti da organizacije koje posluju u Ujedinjenom Kraljevstvu moraju uskladiti poslovanje ne samo s GDPR odredbama već i s odredbama britanskih zakona vezanih za zaštitu osobnih podataka.
Za britanske organizacije situacija se značajno mijenja
Ukoliko će organizacija djelovati kao voditelj obrade ili izvršitelj obrade i nakon završetka tranzicijskog perioda, a nema sjedište unutar Europske unije ili unutar EEA, osim što mora nastaviti ispunjavati sve obveze koje proizlaze iz GDPR-a mora poduzeti još nekoliko koraka.
Prvi korak je identificiranje postojećih obrada podataka. Ako se aktivnosti obrade odnose na pružanje dobara i usluga ispitanicima i/ili nadzor i praćenje ponašanja ispitanika unutar EEA te će se nastaviti nakon završetka tranzicijskog perioda organizacija mora imenovati službenika koji će djelovati u ime organizacije u jednoj od zemalja unutar EEA.
Imenovani službenik će postupati s ispitanicima, nadzornim tijelima i brinuti o implementaciji GDPR-a, a država u kojoj je službenik imenovan mora biti jedna od država u kojoj se većina ispitanika čiji se podaci obrađuju nalaze.
Informacije o imenovanom službeniku moraju biti lako dostupne ispitanicima i nadzornim tijelima. Organizacijama se predlaže revidirati Politike privatnosti i putem Politika privatnosti obavijestiti ispitanike o podacima imenovanog službenika. Također, podatke službenika valja objaviti na web stranici organizacije.
U slučaju obrade podataka koja je povremena, predstavlja nizak rizik za prava ispitanika ili ne obuhvaća veliku količinu posebnih kategorija podataka organizacije sa sjedištem u Velikoj Britaniji nisu dužne imenovati službenika za zaštitu osobnih podataka na području EU odnosno EEA.