Što ‘no-deal Brexit‘ znači za poslovanje hrvatskih tvrtki i GDPR  

Posljedice Brexita što se tiče hrvatskih poduzetnika najviše bi mogli osjetiti izvoznici prehrambenih proizvoda zbog carina i strožih graničnih kontrola, turistički sektor zbog pada vrijednosti funte i smanjenja potrošnje Britanaca te svakako hrvatske ICT tvrtke. U slučaju izlaska Ujedinjenog Kraljevstva iz EU bez dogovora (no-deal Brexit), ono će postati treća zemlja na koju će se primjenjivati pravna stečevina Europske unije, dok je ona sama spremna osigurati stečena prava građana Europske unije pod uvjetom da ista prava imaju i njihovi državljani u Uniji.

U priopćenju koje je izdala naša carinska uprava jasno je istaknuto da u slučaju Brexita bez dogovora, Ujedinjeno Kraljevstvo prestaje biti dio Carinske unije EU te se uspostavlja carinski nadzor na vanjskoj granici EU prema Ujedinjenom Kraljevstvu. U skladu s tim, robna razmjena s Ujedinjenim Kraljevstvom odvijat će se uz primjenu carinskog zakonodavstva, odnosno primjenu mjera carinskog nadzora i carinskih postupaka.

No, sam Brexit neće imati veće posljedice na hrvatske tvrtke jer su vrlo slabo prisutne na britanskom tržištu. Izvoz na britansko tržište u 2017. godini iznosio je 1,5  posto ukupnog hrvatskoga izvoza, dok je uvoz iznosio samo 1 posto. Izravna ulaganja od britanskih investitora u proteklih 25 godina nisu prešla 4 posto od ukupnih ulaganja u Hrvatsku.

Brexit i GDPR

Prenosimo u cijelosti službene smjernice Agencije za zaštitu osobnih podataka (AZOP) vezane uz smjernice Europskog odbora za zaštitu podataka (EDPB) u slučaju no-deal Brexita:

"U slučaju nepostizanja Sporazuma o povlačenju između Europske Unije i Ujedinjenog Kraljevstva Velike Britanije i Sjeverne Irske, Ujedinjeno Kraljevstvo će od 31. siječnja 2020. (op.a.) godine postati treća zemlja u smislu odredaba Opće uredbe. To znači da će se, od tog trenutka, svi prijenosi osobnih podataka u Ujedinjenu Kraljevinu morati temeljiti na jednom od sljedećih instrumenata:

• Standardnim ugovornim klauzulama
• Obvezujućim korporativnim pravilima
• Odobrenim kodeksima ponašanja i odobrenim mehanizmima certificiranja
• Odstupanjima za posebne situacije

Preporuka EDPB-a svim organizacijama u okviru Europskog gospodarskog prostora (EEA) je da se u slučaju bilo kakvih nejasnoća oko aktivnosti obrade osobnih podataka u kontekstu 'no-deal Brexita' obrate nacionalnim nadzornim tijelima.

Ovo je pet koraka koje organizacije trebaju poduzeti kako bi bile spremne za Brexit bez dogovora:

1. Identificirati koje aktivnosti obrade zahtijevaju prijenos osobnih podataka u Ujedinjeno Kraljevstvo
2. Odrediti odgovarajući instrument prijenosa osobnih podataka za svoju situaciju
3. Implementirati odabrani instrument prijenosa do 31. siječnja 2020. godine (op.a.)
4. U svojim internim dokumentima evidentirati da će se vršiti prijenos osobnih podataka u Veliku Britaniju
5. Ažurirati svoje Politike Privatnosti na odgovarajući način kako bi ispitanici bili informirani"

Prijenos osobnih podataka iz zemalja Europskog gospodarskog prostora u Ujedinjeno Kraljevstvo Velike Britanije i Sjeverne Irske

1. Dostupni instrumenti za prijenos

U trenutku BREXIT-a neće postojati Odluka o primjerenosti zaštite, pa se svi prijenosi osobnih podataka iz RH u Veliku Britaniju moraju temeljiti na jednom od sljedećih instrumenata:

a) Standardne i ad-hoc ugovorne klauzule

Vi i Vaš partner u Ujedinjenom Kraljevstvu možete dogovoriti primjenu standardnih ugovornih klauzula odobrenih od strane Europske komisije. Navedene klauzule predstavljaju odgovarajuće zaštitne mjere potrebne za zaštitu podataka u slučaju prijenosa u treću zemlju.

Trenutno su dostupna tri seta Standardnih ugovornih klauzula:

• voditelj iz EEA – voditelj iz treće zemlje – npr. iz UK
• Odluka EK od 15. lipnja 2001. o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje, u skladu s Direktivom 95/46/EZ (2001/497/EC)
• Odluka EK od 27. prosinca 2004. o izmjeni Odluke 2001/497/EZ u pogledu uvođenja alternativnog skupa standardnih ugovornih klauzula za prijenos osobnih podataka u treće zemlje (2004/915/EC)
• voditelj iz EEA – izvršitelj iz treće zemlje – npr. iz Velike Britanije
• Odluka EK od 5. veljače 2010. o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća (2010/87/EU)

Važno je napomenuti kako se navedene klauzule ne mogu mijenjati niti modificirati te moraju biti potpisane upravo u onom sadržaju u kojem su dostupne. Međutim, klauzule mogu biti uključene u šire ugovore te mogu biti dodane dodatne klauzule koje ne proturječe, izravno ili neizravno, Standardnim ugovornim klauzulama odobrenim od strane Europske komisije. Imajući na umu vremenski period prije 31. siječnja 2020. (op.a.), Europski odbor za zaštitu podataka ističe da su navedene klauzule instrument koji je spreman za uporabu.

Svaka dodatna promjena navedenih klauzula implicirati će da se iste tretiraju kao ad hoc ugovorne klauzule (ugovorne klauzule koje nisu odobrene od strane Komisije) koje mogu predstavljati odgovarajuće zaštitne mjere, ovisno o okolnostima pojedine situacije.

Prije svakog prijenosa podataka, takve ad hoc ugovorne klauzule moraju biti odobrene od strane nadležnog nadzornog tijela (Agencije za zaštitu osobnih podataka), nakon usvajanja mišljenja od strane Europskog odbora za zaštitu podataka.

b) Obvezujuća korporativna pravila

Obvezujuća korporativna pravila su zaštitna pravila koja sastavljaju određene grupe poduzetnika ili poduzeća angažirani u zajedničkoj gospodarskoj aktivnosti kako bi ista predstavljala odgovarajuće zaštitne mjere uzimajući u obzir njihovu posebnu situaciju.

Ukoliko već imate odobrena obvezujuća korporativna pravila ili ste dio grupacije koja ih ima, tada se i dalje možete na njih oslanjati budući da su ista, i nadalje valjana sukladno odredbama Opće uredbe. Međutim, obvezujuća korporativna pravila moraju biti ažurirana na način da u cijelosti budu u skladu s odredbama Opće uredbe.

Ukoliko u ovom trenutku nemate obvezujuća korporativna pravila, ona moraju biti odobrena od strane nadležnog nadzornog tijela, nakon usvajanja mišljenja od strane Europskog odbora za zaštitu podataka.

Dodatne informacije o uvjetima za podnošenje istih na odobrenje možete pronaći na stranici Europskog odbora za zaštitu podataka putem sljedećeg linka.

c) Kodeksi ponašanja i Mehanizmi certificiranja

Kodeksi ponašanja ili mehanizmi certificiranja mogu predstavljati odgovarajuće zaštitne mjere za prijenose osobnih podataka ukoliko isti sadrže obvezujuće i provedive obveze organizacija u trećim zemljama za dobrobit ispitanika.

Ovi instrumenti su novi sukladno Općoj uredbi te Europski odbor za zaštitu podataka radi na smjernicama kako bi ponudio više objašnjenja o ujednačenim uvjetima i postupcima za uporabu tih alata.

2. Odstupanja

Odstupanja dozvoljavaju prijenos osobnih podataka pod određenim pretpostavkama te ona predstavljaju iznimke od pravila da se svi prijenosi u treće zemlje moraju temeljiti na odluci o primjerenosti, odnosno na odgovarajućim (gore iznesenim) zaštitnim mjerama. Stoga se moraju tumačiti restriktivno i uglavnom se primjenjivati na one aktivnosti obrade koje su povremene i ne- ponavljajuće.

Ta odstupanja sukladno članku 49. Opće uredbe, između ostalog uključuju sljedeće situacije:

1. ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;
2. prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;
3. prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe
4. prijenos je nužan iz važnih razloga javnog interesa;
5. prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;

Dodatne informacije o navedenim odstupanjima možete pronaći ovdje.

3. Instrumenti dostupni isključivo javnim tijelima

Javna tijela mogu razmotriti korištenje instrumenata koji sukladno Općoj uredbi, više odgovaraju njihovoj situaciji.

Jedna opcija je korištenje pravno obvezujućih i provedivih instrumenata, kao što su administrativni sporazumi, bilateralni ili multilateralni sporazumi. Takvi sporazumi moraju biti obvezujući i provedivi za potpisnike

Druga opcija je korištenje administrativnih dogovora, kao što je „Memorandum razumijevanja“, koji iako nije pravno obvezujući, mora pružati provediva i djelotvorna prava ispitanicima. Administrativni dogovori podliježu odobrenju nadležnog nadzornog tijela, nakon usvajanja mišljenja od strane Europskog odbora za zaštitu podataka.

Dodatno, gore navedena odstupanja također su dostupna za prijenose osobnih podataka od strane javnih tijela, pod uvjetom ispunjavanja odgovarajućih uvjeta.

Za javna tijela koja se bave izvršenjem kaznenih sankcija, dostupni su i dodatni alati za prijenos.

Prijenosi osobnih podataka iz Ujedinjenog Kraljevstva Velike Britanije i Sjeverne Irske u zemlje Europskog gospodarskog prostora

Sukladno stavu Vlade Velike Britanije trenutna praksa, koja dopušta slobodan protok osobnih podataka iz u EEA, nastavit će se u slučaju Brexita bez dogovora.

U tu svrhu, trebalo bi redovito pratiti internetsku stranicu Vlade Velike Britanije ovdje i britanskog nadzornog tijela ICO ovdje.