Dňa 31.01.2020 Spojené kráľovstvo vystúpilo z Európskej únie. Nadobudnutím platnosti dohody o vystúpení, krajina vstúpila do prechodného obdobia, počas ktorého stále podliehala európskym zákonom. Čo to znamená z pohľadu bezpečnosti údajov, a aké bezpečnostné opatrenia bude potrebné prijať pri prenose osobných údajov medzi EÚ a Spojeným kráľovstvom?
Uvedené prechodné obdobie sa skončilo dňa 31.12.2020. Tesne pred koncom prechodného obdobia, konkrétne 24.12.2020, Spojené kráľovstvo uzavrelo s EÚ Dohodu o obchode a spolupráci (The EU-UK TCA (Trade and Cooperation agreement)), ktorá umožňovala nepretržitý voľný tok osobných údajov z EÚ do Spojeného kráľovstva, najviac však po dobu šesť mesiacov od konca prechodného obdobia (31.6.2021). Na základe tejto dohody mohli britské podniky naďalej voľne prijímať údaje z Európskeho hospodárskeho priestoru (ďalej len „EHP“ – členské štáty EÚ a Island, Nórsko a Lichtenštajnsko) bez ďalších obmedzení. Spojené kráľovstvo sa domnievalo, že Európska Komisia vydá rozhodnutie o primeranosti a zaradí tak krajinu medzi bezpečné z hľadiska prenosu osobných údajov [1]. Pre Spojené kráľovstvo by to znamenalo, že prenos osobných údajov z EÚ do tejto tretej krajiny by bol možný bez potreby ďalších ochranných opatrení (aj po šiestich mesiacoch od uplynutia prechodného obdobia). Do dnešného dňa však Európska komisia žiadne rozhodnutie nevydala.
Legislatíva Spojeného kráľovstva na ochranu osobných údajov po 31. decembri 2020
Po uplynutí prechodného obdobia nie je Nariadenie Európskeho Parlamentu a Rady (EÚ) 2016/679 (ďalej len „Nariadenie GDPR“) na území Spojeného kráľovstva viac aplikovateľné. Nariadenie GDPR však bolo vpísané do britskej legislatívy Zákonom o vystúpení (the Withdrawal Act), aby sa vytvoril režim ochrany osobných údajov špecifický pre britský kontext po Brexite. Tento nový režim je známy ako UK GDPR (britská verzia európskeho nariadenia). Aby európske štandardy fungovali aj na britskom území, museli sa aplikovať technické zmeny a doplnenia na základe výstupných predpisov z EÚ. Princípy a pravidlá ostali nezmenené.
Usmernenie a postup
Nezávislý orgán Spojeného kráľovstva, ktorý slúži na ochranu a udržiavanie práv pre informácie vo verejnom záujme (Information Commissioner´s Office – ďalej len „ICO“), na svojom webovom sídle vydal usmernenie určené na pomoc malým a stredným podnikom a organizáciám v Spojenom kráľovstve, aby po uplynutí prechodného obdobia dokázali zaručiť bezpečný prenos osobných údajov s EHP.
Vláda Spojeného kráľovstva sa zaviazala dodržiavať vysoký štandard v rámci prenosu osobných údajov do EHP. To znamená, že ak nejaká spoločnosť/podnik dodržiava zásady ochrany osobných údajov a nemá žiaden kontakt ani zákazníkov v EHP, nemusí už uskutočniť žiadne dodatočné kroky v súlade s ochranou osobných údajov. Ak však táto spoločnosť/podnik prijíma osobné údaje od kontaktov v EHP, musí vynaložiť adekvátne úsilie na to, aby sa uistila, že prenos týchto dát je v súlade so európskymi a britskými nariadeniami V tomto prípade má prevádzkovateľ na území Spojeného kráľovstva povinnosť zvoliť si reprezentanta na území EÚ (podľa čl. 27 Nariadenia GDPR).
V prípade, že Európska Komisia nezaradí Spojené kráľovstvo medzi bezpečné krajiny a uplynie šesť-mesačné obdobie stanovené Dohodou o obchode a spolupráci, krajina sa z hľadiska ochrany osobných údajov stáva „treťou krajinou“. V takomto prípade spoločnosti/podniky budú musieť zaviesť alternatívne mechanizmy, ktorými sú štandardné zmluvné doložky (SCCs), záväzné vnútropodnikové pravidlá (BCRs), aktualizácia dokumentácie na zabezpečenie ochrany osobných údajov obyvateľov EÚ počas prenosu.
Využitie štandardných zmluvných doložiek
Najjednoduchším spôsobom, ako zabezpečiť primeranú ochranu pre prenos osobných údajov medzi EHP a Spojeným kráľovstvom je uzatvorenie štandardných zmluvných doložiek (SCC). Tento spôsob je určený pre malé a stredné podniky, ktoré potrebujú zachovať nepretržitý tok osobných údajov medzi EÚ a Britániou. Štandardné zmluvné doložky obsahujú zmluvné podmienky, ktoré podpisuje „odosielateľ“ aj „príjemca“ osobných údajov. Zahŕňajú zmluvné záväzky, ktoré pomáhajú chrániť osobné údaje pri ich prenose. Nástroj na tvorbu týchto zmluvných doložiek medzi prevádzkovateľmi, prípadne medzi prevádzkovateľom a sprostredkovateľom, ponúka aj britský orgán na ochranu a udržiavanie práv pre informácie vo verejnom záujme.
Aktualizácia vnútropodnikových pravidiel
Zabezpečenie prenosu sa však netýka len menších podnikov. Aj nadnárodné podniky by mali zvážiť aktualizáciu existujúcich vnútropodnikových pravidiel (BCR) na uskutočňovanie prenosu osobných údajov medzi EÚ a Spojeným kráľovstvom (článok 47 Nariadenia GDPR). Odchodom Spojeného kráľovstva z EÚ stratil nezávislý orgán (ICO) svoje postavenie ako dozorný orgán pod Nariadením GDPR. Vnútropodnikové pravidlá pre prenos osobných údajov z EHP do Spojeného kráľovstva tak budú musieť byť schválené európskym dozorným orgánom, nakoľko ICO už ďalej nemôže pokračovať v schvaľovaní takýchto pravidiel.
Bezpečnostná dokumentácia
Podľa právnych predpisov o primeranosti spracúvania môžu spoločnosti pokračovať v uskutočňovaní prenosov údajov medzi Spojeným kráľovstvom a EHP. Dôležitá je však aktualizácia bezpečnostnej dokumentácie o ochrane osobných údajov, aby zahŕňala informácie a oznámenia týkajúce sa tohto prenosu. Britské podniky sú vzhľadom na vzniknutú situáciu povinné aktualizovať svoju GDPR dokumentáciu a uviesť ju do súladu s požiadavkami UK GDPR. Najmä všetky oznámenia o ochrane súkromia, DPIA (posúdenie vplyvu na ochranu osobných údajov), DSAR (žiadosti o prístup k údajom) a dokumentácie pokrývajúce medzinárodný tok osobných údajov, musia odzrkadľovať britskú nezávislú jurisdikciu a konkrétne znenie a rozsah UK GDPR.
Zástupcovia v rámci jednotlivých krajín
Jednou z alternatív, ako zabezpečiť ochranu prenášaných dát, je zvolenie si vhodných zástupcov v rámci prevádzok v EHP, ktorí budú vystupovať ako priamy kontakt s dotknutými osobami a dozornými orgánmi v rámci EHP.
Zástupcom môže byť fyzická osoba, spoločnosť alebo organizácia, ktorá sídli v EHP, a ktorá musí podnikateľa alebo organizáciu zastupovať, pokiaľ ide o naplnenie povinností podľa Nariadenia GDPR (napríklad právnická firma alebo súkromná spoločnosť). Najjednoduchším spôsobom vymenovania zástupcu je uzavretie jednoduchej zmluvy o poskytovaní služieb.
Je nutné zadefinovať, v ktorých štátoch budú daní zástupcovia sídliť a vytvoriť tak pre nich vhodné splnomocnenie. Informácie o zástupcoch by mali byť ľahko prístupné aj pre jednotlivcov (dotknuté osoby), ktorých osobné údaje daná krajina spracúva. Tie sa o podrobnostiach môžu dozvedieť viac na webovom sídle prevádzkovateľa.
Pri prenose osobných údajov do tretích krajín je dôležité, aby si prevádzkovatelia a sprostredkovatelia zabezpečili primeranú ochranu tohto prenosu ešte pred prvým spracovaním osobných údajov.
Ďalšie informácie v rámci prenosu osobných údajov medzi krajinami EÚ a Spojeným kráľovstvom budeme podľa potreby aktualizovať.
[1] Európska Komisia do dnešného dňa uznala len Andorru, Argentínu, Kanadu (obchodné organizácie), Faerské ostrovy, Guernsey, Izrael, Ostrov Man (Isle of Man), Japonsko, Jersey, Nový Zéland, Švajčiarsko a Uruguaj za krajiny poskytujúce adekvátnu ochranu osobných údajov
Zdroje
https://www.mhsr.sk/obchod/brexit-informacie-pre-obcanov-a-podniky
https://ec.europa.eu/info/european-union-and-united-kingdom-forging-new-partnership/brexit-brief_sk
https://www.itgovernance.co.uk/eu-gdpr-uk-dpa-2018-uk-gdpr
