Ukratko sve što trebate znati o novoj regulaciji GDPR-a vezanoj uz Ujedinjeno Kraljevstvo
Prijelazno razdoblje vezano uz povlačenje Ujedinjene Kraljevine iz članstva u Europskoj uniji završilo je s 31.12.2020. godine te je ona u smislu propisa EU iz područja zaštite podataka postala „treća zemlja“. Što to znači za osobne podatke, GDPR i kako po novom regulirati tu vrstu transfera?
Nakon isteka prijelaznog razdoblja, prijenosi osobnih podataka u UK koji nisu uređeni čl. 71. st. 1. Sporazuma o povlačenju više se ne razmatraju razmjenom podataka unutar Unije i moraju biti regulirani u skladu s relevantnim pravilima EU koja se primjenjuju na prijenose osobnih podataka u treće zemlje. Treće zemlje su sve države izvan zone primjene GDPR-a odnosno Europskog gospodarskog prostora (potpisnice Sporazuma o europskom gospodarskom prostoru su sve članice EU te Norveška, Lihtenštajn i Island). GDPR ograničava sve prijenose osobnih podataka europskih građana u treće zemlje osim ako su ti podaci zaštićeni na drugi način ili se na taj prijenos primjenjuje iznimka.
Prijenos podataka dopušten je za zemlje za koje je Europska komisija donijela Odluku o primjerenosti odnosno kada se koriste neka od GDPR-om propisanih zaštitnih mjera, najčešće Standardnih ugovornih klauzula i Obvezujućih korporativnih pravila.
Koliko je situacija hektična pokazuju i napomene na službenim kanalima institucija EU i britanskog nadzornog tijela, koji napominju da su iznesene informacije trenutno aktualne i relevantne te da je neophodno redovito pratiti njihovo ažuriranje.
Što je Odluka o primjerenosti/adekvatnosti i zašto je ona važna?
Europska komisija je temeljem čl. 45. GDPR-a ovlaštena utvrditi ima li pojedina treća zemlja odgovarajuću razinu zaštite podataka. Učinak Odluke o primjerenosti jest da se osobni podaci mogu slati iz države potpisnice Sporazuma odnosno članice EGP-a u treću zemlju bez potrebe za daljnjim zaštitnim mjerama. U tom smislu, nakon što pojedina država (u ovom slučaju Ujedinjeno Kraljevstvo) preda zahtjev za usvajanjem Odluke o primjerenosti pokreće se mehanizam koji uključuje (1) prijedlog Europske komisije, (2) mišljenje Europskog odbora za zaštitu podataka (EDPB), (3) odobrenje predstavnika zemalja EU i (4) usvajanje Odluke od strane Europske komisije.
Odluka, naravno, ne predstavlja doživotnu opredijeljenost EU da su prijenosi osobnih podataka u dotičnu zemlju izjednačeni s prijenosom podataka unutar EU jer Europski parlament i Vijeće u svakom trenutku od dana njenog izdavanja mogu od Europske komisije zatražiti da zadrži, izmijeni ili povuče Odluku o primjerenosti s obrazloženjem da njezin akt premašuje provedbene ovlasti predviđene GDPR-om.
Također, Odluke o primjerenosti ne obuhvaćaju razmjenu podataka u aspektima provođenja zakona koje uređuje tzv. „Policijska direktiva” (članak 36. Direktive (EU) 2016/680).
Kad se očekuje Odluka o primjerenosti i što treba napraviti do tada?
Razvidno je da se radi o nimalo jednostavnom procesu, a iako je britanski ICO na svojim službenim stranicama još sredinom prosinca objavljivao da su trenutno u procesu traženja Odluke o primjerenosti od Europske komisije i očekuje njegovo rješavanje, nema naznaka da će taj proces proći niti glatko, a niti brzo. Trenutno su u tijeku pregovori između UK i EU o privremenom produžetku roka (ne dužem od 6 mjeseci), ali su oni vezani uz šire trgovinske pregovore i njihova učinkovitost je zasad potpuno neizvjesna.
Ono što je važno napomenuti jest da dosadašnja praksa procesa usvajanja same Odluke od primjerenosti ima i svoj vremenski aspekt trajanja otprilike 28 mjeseci u kojem ona u bilo koje vrijeme može biti i opozvana. Da li će na taj rok utjecati ovo moguće produženje i što će Britanci zapravo njime isposlovati, nitko ne može sa sigurnošću tvrditi.
Jedno je sigurno, u ovom vremenskom vakuumu iščekivanja daljnjih informacija i odluka, europske tvrtke koje u svojem poslovanju imaju prijenos osobnih podataka prema UK, situaciju moraju rješavati hitno kako bi i same ostale usklađene s GDPR-om.
Je li sigurno da će Odluka o primjerenosti biti usvojena?
Nije. Iz tog razloga tvrtke iz EU ne smiju se osloniti na to da će se situacija riješiti sama od sebe. Kada bi UK potpisala Sporazum o ulasku u EGP, to bi mnogim tvrtkama iz EU i UK koje imaju međusobni prijenos osobnih podataka olakšalo život. No, postoji jedna okolnost koja predstavlja svjetlo na kraju tunela, a to je da je s prvim danom 2021. godine počeo s primjenom i novi britanski zakon o zaštiti podataka koji je pandan GDPR-u pa se u smislu osiguravanja tehničkih i organizacijskih mjera od strane britanskih tvrtki možete barem malo opustiti.
Što napraviti u ovom trenutku?
Ako Vaša tvrtka ima prijenose osobnih podataka prema tvrtkama iz UK uputno je da što prije osigurate odgovarajući odobreni mehanizam zaštite. Trenutno, ukoliko niste velika korporacija i ne koristite već odobrena Obvezujuća korporativna pravila (BCR), to je moguće najbezbolnije izvesti upotrebom Standardnih ugovornih klauzula (SCC).
Službeno dostupni setovi Standardnih ugovornih klauzula za situacije EU voditelj/non-EU-EEA voditelj obrade i EU voditelj/non-EU-EEA izvršitelj obrade koje preporuča Europska komisija dostupni su ovdje.
U slučaju da na korporativnoj razini koristite već odobrena Obvezujuća korporativna pravila (BCR), značajna promjena vezana uz njih jest da ukoliko je definirano vodeće nadzorno tijelo britanski ICO, korporacija mora izabrati odgovarajuće novo nadzorno tijelo u jednoj od zemalja članica EU. Trenutno aktualna informacija dostupna je ovdje.