Taylor Wessing komentuje: tvrdý BREXIT a ochrana osobních údajů
Advokátní kancelář Taylor Wessing Česká republika přináší informace o možných dopadech tvrdého Brexitu na zpracování osobních údajů v případě vystoupení Spojeného království Velké Británie a Severního Irska z Evropské unie s blížícím se datem 29. března 2019. Tvrdý Brexit znamená situaci, kdy britský parlament neodsouhlasí dohodu o vystoupení z EU, ani neodsouhlasí odklad vystoupení Británie z EU, a Británie vystoupí z EU bez jakékoliv dohody.
Pro případ, kdy podniky usazené na území EU budou předávat osobní údaje po tvrdém Brexitu organizacím ve Spojeném království, uplatní se na toto předávání pravidla GDPR pro předávání osobních údajů do třetích zemí. Martin Loučka, koncipient advokátní kanceláře Taylor Wessing Česká republika doplňuje: “Článek 45 GDPR stanoví, že předávání osobních údajů do určité třetí země bez zvláštního povolení je možné, pokud Evropská komise rozhodla, že tato třetí země zajišťuje odpovídající úroveň ochrany osobních údajů. I když v případě Spojeného království půjde o formalitu, dokud Evropská komise nerozhodne, že Spojené království poskytuje odpovídající úroveň ochrany, bude možné předávat osobní údaje subjektům usazeným ve Spojeném království pouze při zajištění vhodných záruk, zejména podle standardních smluvních doložek schválených Evropskou komisí, v takovém případě není třeba zvláštní povolení dozorového úřadu, nebo na základě závazných podnikových pravidel schválených příslušným dozorovým úřadem členského státu EU.”
A Pomaizlová doplňuje: “V případě tvrdého Brexitu bude změnou dále postiženo zpracování osobních údajů osob na území Spojeného království správci nebo zpracovateli usazených v EU, tedy opačné předávání osobních údajů z Británie do členských států EU. Toto předávání se bude řídit britskými právními předpisy. Obdobně jako GDPR se britský předpis o zpracování osobních údajů bude vztahovat na veškerá zpracování osobních údajů osob na území Spojeného království, i když jej budou provádět správci nebo zpracovatelé usazení mimo Spojené království. Toto by reálně mohlo mít dopad na české správce a zpracovatele, např. poskytovatele služeb informační společnosti, pokud jsou mezi jejich zákazníky i jednotlivci ze Spojeného království.
V návaznosti na předávání osobních údajů mezi subjekty v EU a ve Spojeném království bude v případě tvrdého Brexitu třeba provést revizi již uzavřených smluv o zpracování osobních údajů nebo mezi společnými správci osobních údajů.
A Pomaizlová dále uvádí: “Ohledně předávání osobních údajů britských osob do členských států EU sice britská vláda deklarovala, že i pro případ tvrdého Brexitu bude považovat členské státy EU za země s odpovídající ochranou osobních údajů, v současné nejasné a nejisté situaci je dobré se připravit na to, že do doby než britský úřad formálně rozhodne o tom, že členské státy EU poskytují odpovídající ochranu, bude možno předávat osobní údaje z Británie do EU (např. zpracovatelům zde usazeným) pouze na základě smluvních doložek nebo závazných podnikových pravidel schválených britským úřadem podle britského práva.”
Obdobně, jak požaduje čl. 27 GDPR, budou muset správci a zpracovatelé usazení na území EU, kteří zpracovávají osobní údaje osob na území Spojeného království za účelem nabízení zboží nebo služeb, bez ohledu na to, zda za úplatu či nikoliv, anebo kteří monitorují chování těchto osob, ustanovit na území Spojeného království svého zástupce. Dále v případě schválených závazných podnikových pravidel bude nutno tyto znovu schválit příslušným britským úřadem (viz zde).
Loučka dodává: “V důsledku Brexitu bude také muset dojít ke změně vedoucího dozorového úřadu, pokud jim dosud byl britský úřad. Stejně tak pokud pověřenec pro ochranu osobních údajů usazený na území Británie vykonával tuto roli i pro další firmy v rámci koncernu nebo pobočky na území EU, bude nutné ustanovit nového pověřence, usazeného na území členského státu EU. Pro správce a zpracovatele, kteří mají povinnost jmenovat pověřence podle GDPR vznikne nová povinnost ustanovit zvlášť pověřence podle britských právních předpisů.”
Pro případ schválení dohody o výstupu z EU by GDPR nadále v Británii platilo do 31. prosince 2020, do té doby by předávání osobních údajů mezi EU a Spojeným královstvím fungovalo jako dosud. V závislosti na vývoji k 29. březnu 2019 by advokátní kancelář Taylor Wessing Česká republika event. poskytla další informace.