Какви промени ще настъпят и как да се подготвим за тях?
Остават броени дни до заветния 31-ви октомври, когато Великобритания ще напусне официално Европейския съюз (ако разбира се срокът за Брекзит не бъде отложен отново). Все по-вероятен става сценарият на no-deal Брекзит, в който Великобритания автоматично ще напусне единния пазар и всички институции на ЕС без каквото и да е споразумение по „развода“ със Съюза. Какво ще означава това за потока на лични данни между континента и Острова? Ще вземе ли Европейската комисия решение за адекватно ниво на защита за Великобритания или бизнесът трябва ще се справя на принципа “every man for himself” (всеки сам за себе си)?
Взимането на решение за адекватност относно Великобритания е много вероятно, но при no-deal Брекзит Великобритания ще стане автоматично трета страна по смисъла на GDPR от деня на напускане. Това означава, че бизнесът ще трябва да предприеме активни мерки, за да гарантира законосъобразност на трансфера на данни докато решение на адекватност бъде взето.
Какви закони за лични данни ще се прилагат във Великобритания след Брекзит?
С напускането на ЕС, GDPR ще спре да бъде част от законодателството на Великобритания. От този момент там ще започне да се прилага т. нар. UK GDPR, който ще измени действащия в момента Data Protection Act (еквивалентът на нашия ЗЗЛД). Както и самото име подсказва, разликите между новия режим във Великобритания и европейския GDPR няма да са съществени, като до голяма степен британския закон ще възпроизвежда принципите на Общия регламент без съществена промяна. Дружествата във Великобритания, които обработват данни на европейски граждани, ще продължават да са обвързани от GDPR, но ще трябва да съобразяват и с новото вътрешно законодателство.
Какво ще бъде положението на Великобритания?
От момента на напускане на Европейския съюз, при липса на споразумение за противното, Великобритания ще стане трета страна по смисъла на GDPR. Това означава, че предаването на данни между Острова и Съюза ще представлява международен трансфер на лични данни.
Британското правителство към момента е потвърдило, че няма да позволи прекъсване на свободния поток на лични данни към ЕИО и няма да бъде необходимо местните компании да предприемат допълнителни мерки, за да изпращат данни към ЕС. Предаването на данни от ЕС към Великобритания обаче трябва да отговаря на изискванията на GDPR.
Съгласно чл. 44 и сл. от GDPR, предаването на лични данни на трети държави ще бъде законосъобразно, само ако са взети съответните мерки за осигуряването на необходимо ниво на защита на данните на физическите лица. Това може да стане по един от следните два начина:
- Предаване на данни въз основа на решение за адекватно ниво на защита (чл. 45 GDPR);
- Предаване на данни с подходящи гаранции (чл. 46 GDPR).
Решение за адекватно ниво на защита
Оценката за адекватно ниво на защита в трета страна се прави от Европейската комисия (ЕК). Тя ще постанови решение за адекватност, ако намери, че в съответната държава има върховенство на закона и ефективно законодателство в сферата на личните данни, както и ако в нея функционират независими надзорни органи. При наличие на решение за адекватност, предаването на лични данни може да се извършва свободно в ЕИО без да е необходимо допълнително разрешение и предприемане на конкретни мерки от страна на бизнеса.
Приемането на такова решение е много вероятно, тъй като Великобритания има силен надзорен орган, а новия UK GDPR ще въведе принципите и гаранциите на GDPR веднага във националното законодателство. Докато обаче ЕК не постанови изрично решение за адекватност, отговорността за демонстрация на адекватни мерки за защита ще лежи върху бизнеса.
Подходящи гаранции
При липсата на решение за адекватност администраторите и обработващите във Великобритания са тези, които ще трябва да доказват, че могат да осигурят подходящи гаранции за защитата на правата на субектите на данни. Как по-конкретно могат да се предвидят тези гаранции? GDPR изброява възможните начини в чл. 46 ал. 2 и 3 на Регламента, като между тях най-разпространените и лесни за въвеждане са:
- стандартните клаузи за защита на данните: това обикновено е най-бързият и лесен начин за постигане на съответствие. Ако вашия бизнес вече е включил такива стандартни клаузи в договорите си с обработващи и администратори от други трети страни, може да ги използвате като основа за при уреждане на отношенията с британски дружества;
- задължителните фирмени правила: това е по-подходящият подход, ако компанията ви е част от международна корпоративна група, в която участва британско дружество. Фирмените правила уреждат всички основни принципи и мерки за защита на данните, въвеждат се от всички членове на групата и ги обвързват задължително. Недостатъкът им е, че трябва да преминат през дълъг процес на одобрение от съответния надзорен орган, който обикновено отнема минимум една година.
Как може да се подготвите за Брекзит, ако обменяте данни с британско дружество? :
- Идентифицирайте дейностите по обработка, за които ще бъде необходим трансфер на данни към Великобритания.
- Определете подходящ инструмент за трансфер на данни, който ще осигури гаранции за защита на данните.
- Въведете го до 31 октомври 2019 год. (напр. включете стандартните клаузи в споразумението за обработка между администратор и обработващ / администратор и администратор с британското дружество).
- Посочете на съответните места във вътрешната документация, че ще осъществявате трансфер на данни с Великобритания.
- Обновете уведомлението за защита на данните, за да информирате субектите.
