Brexit prihaja – kako z GDPR?

Brexit pred vrati – kaj storiti?

Leto 2020 je bilo težko in to je zelo milo rečeno. Odštevanje na predvečer novega leta pa ne bo pomenilo le prihoda novega upanja, temveč tudi prihod nečesa velikega. Z zadnjim dnem leta 2020 se namreč izteka prehodno obdobje Brexita.

Januarja 2020 je Združeno kraljestvo (VB) formalno zapustilo EU, in sicer s sporazumom, imenovanim sporazum o izstopu, ki je določil postopek, po katerem mora odhod potekati gladko, kot je to sploh mogoče. Ta sporazum pa ni določal pogojev za nadaljnje sodelovanje med Združenim kraljestvom in EU – ti pogoji naj bi bili dogovorjeni v naslednjem 11-mesečnem prehodnem obdobju. V tem prehodnem obdobju za pogajanja o prihodnjih odnosih je Združeno kraljestvo še vedno trgovalo znotraj EU in upoštevalo pravila EU enako kot prej.

Vendar pa se prehodno obdobje konča v manj kot šestih tednih in težavna pogajanja med VB in EU so privedla do poročil, da bi bil lahko Brexit zaključen 28. decembra, torej le 3 dni pred uradnim in samodejnim “izpadom” VB iz enotnega trga.

Brexit in varstvo osebnih podatkov

Z izstopom iz EU bo Združeno kraljestvo zdaj za vse namene veljalo za „tretjo državo“, zato to vpliva tudi na način prenosa osebnih podatkov k subjektom s sedežem v Združenem kraljestvu in obratno.

V prvi vrsti je pomembno razumeti veljavni pravni okvir. Splošna napačna predstava je, da bo, ko bo Brexit začel veljati, za upravljavce in obdelovalce v VB veljal samo nacionalni zakon in da GDPR za Združeno kraljestvo ne bo več veljala. V resnici pa bo ob koncu prehodnega obdobja v Združenem kraljestvu sprejet zakon, enakovreden GDPR, ki ima (splošno gledano) podobne določbe, vendar bo poskrbel za obdelavo osebnih podatkov v Združenem kraljestvu. Oba zakona (torej GDPR in ekvivalentni britanski zakon) bosta imela zunaj-teritorialni učinek, zato je velika verjetnost, da bodo morali upravljavci in obdelovalvi upoštevati različne pravne rešitve. Za pojasnitev bo torej treba zakon, ki bo ekvivalent GDPR, v Združenem kraljestvu upoštevati:

• če ima upravljavec / obdelovalec sedež v Združenem kraljestvu; ali
• želi prodati blago / storitve posameznikom v Združenem kraljestvu; ali
• spremljati vedenje posameznikov v Združenem kraljestvu.

Prav tako bodo britanski upravljavci / obdelovalci morali upoštevati GDPR:

• če imajo sedež v EU / EGP;
• prodajajo blago / storitve posameznikom v EU / EGP; ali
• spremljajo vedenje posameznikov v EU / EGP.

Prenosi osebnih podatkov

Britanska vlada je že pojasnila, da bo (zaenkrat) še naprej priznavala učinek obstoječih odločitev Evropske komisije o ustreznosti za države, ki niso članice EGP in za katere je Komisija odločila, da zagotavljajo ustrezno raven varstva podatkov, kot so Japonska, Švica in Nova Zelandija. Združeno kraljestvo bo prav tako priznalo vse države EGP kot ustrezne. Vendar bo prenos med obema pravnima redoma (torej med EU in VB) nekaj časa verjetno moral temeljiti na podlagah za prenos – vsaj, dokler Evropska komisija britanske (“nove”) ureditve tudi formalno ne prizna kot ustrezne. Če je na primer obdelovalec plač na Irskem, lahko organizacije iz VB še naprej osebne podatke o svojih zaposlenih pošiljajo temu obdelovalcu na Irskem (ker gre za “uvoz” v EU). Težave bodo pri vzpostavitvi mehanizma, skladnega z GDPR, za prenos osebnih podatkov (kot so tisti na plačilnih listih) z irskega obdelovalca na britanskega upravljavca. To pa, kot že opisano, zato, ker Velika Britanija verjetno ne bo prejela odločbe o ustreznosti od Evropske komisije pred koncem prehodnega obdobja za brexit (torej do konca tega leta), predvsem zaradi zaskrbljenosti zaradi svojih praks domačega nadzora.

Kaj storiti do konca leta?

Predvsem morate slediti, kaj se bo dogajalo v odnosu med VB in EU. Še posebej v zadnjih dneh tega leta. Pred tem pa je dobro razmisliti o tem, da predhodno poiščete rešitve za obe možni končni situaciji, torej:

• VB in EU skleneta dogovor ali EU prizna VB kot ustrezno državo – v tem primeru se praktično ne zgodi nič, le informacije za posameznike ustrezno dopolnite.
• VB in EU ne skleneta dogovora ali EU ne prizna VB kot ustrezne države – pripravite si standardne pogodbene klavzule (SCC – več o tem, kaj se trenutno dogaja na tem področju, si lahko preberete v tem članku) in z vašim partnerjem že pred zaključkom leta skomunicirajte dopolnitve pogodbe (aneks).

Več si lahko preberete tudi na portalu Evropske komisije.