Tvrdý Brexit a GDPR

Brexit a GDPR

Již 13. září zveřejnila vláda Velké Británie (VB) technické poznámky k odchodu z EU bez dohody, takzvanému tvrdému Brexitu. V první řadě se Velká Británie zavazuje chránit osobní údaje i nadále v duchu přijaté legislativy, tedy i GDPR. Vláda VB provede potřebné legislativní změny v GDPR a v pravomocech v rámci EUWA.

Základní pravidla, povinnosti a práva zůstanou zachována. Velká Británie bude uznávat všechny země EHP (včetně Gibraltaru) a jejich instituce za bezpečné, aby data z Velké Británie mohla téci jako dosud. Navíc souhlasí s přijetím opatření, aby docházelo ke spolupráci mezi EU a Komisařem pro informace Spojeného království (ICO). Spojené království ale nemůže zajistit volný tok údajů na své území. Bude třeba zajistit alternativní postupy. Organizace ve Velké Británii budou muset se svými protějšky z EU řešit alternativní mechanismy převodů, například smluvní doložky. ICO o mechanismech, doložkách a smluvních opatřeních informuje na svých stránkách.

Dosud uznané spolupráce dle Evropské komise (dosud Komise uznala Andorru, Argentinu, Kanadu (obchodní organizace), Faerské ostrovy, Guernsey, Izrael, ostrov Man, Jersey, Nový Zéland, Švýcarsko, Uruguay a Spojené státy americké (Privacy Shield)) bude Spojené království dále uznávat také.

Stejné je to s extrateritoriálností britského rámce ochrany údajů. Tak jako se GDPR vztahuje i na správu osobních údajů, které neprobíhají na jejím území, ale zpracovávají údaje v souvislosti s nabízením služeb a zboží subjektům na území Británie, bude se tak ICO přizpůsobovat. To se vztahuje i na regulátory a správce EU. Od regulátorů bude vyžadovat jmenování zástupce ve Velké Británii.

Co to vše bude znamenat pro nás a pro naše společnosti? Předně se ve variantě #nodeal z Velké Británie stane země třetí kategorie, kdy každý správce, který bude osobní údaje předávat na její území, bude muset garantovat práva subjektů, minimálně smluvními doložkami. Stejné garance bude muset doložit britské straně, při pohybu dat směrem k nám, tedy do EU. V některých případech bude třeba jmenovat svého zástupce pro ochrano OÚ na území Británie – a klidně to nazvěme Pověřencem pro UK. Otázkou bude jak EU uzná Británii za partnera.

Petr Gondek, DPO, managing director GDPR Support s.r.o.