La 6 iulie 2020, Comisia Europeană a publicat o notificare către părțile interesate cu privire la transferul de date cu caracter personal din UE în Regatul Unit după încheierea perioadei de tranziție, adică 31 decembrie 2020. Până la 31 decembrie 2020, legislația UE este aplicabilă în Regatul Unit.
Legea privind protecția datelor cu caracter personal în Regatul Unit înainte de 31 decembrie 2020
Toate organizațiile britanice care procesează date cu caracter personal sunt în prezent obligate de două legi: GDPR UE și DPA (Data Protection Act) 2018 din Marea Britanie. Ambele legi continuând să se aplice până la sfârșitul perioadei de tranziție.
Ce se întâmplă după 31 decembrie 2020?
După 31 decembrie 2020, orice transfer de date cu caracter personal din UE în Regatul Unit va trebui să respecte cerințele aplicabile transferurilor de date cu caracter personal din UE către țări terțe. Excepțiile de la această regulă sunt cele prevăzute la articolul 71 alineatul (1) din Acordul de retragere („Acordul de retragere”) încheiat între UE și Regatul Unit cu privire la condițiile de retragere a Regatului Unit din UE.
• „au fost procesate conform legislației UE în Regatul Unit înainte de sfârșitul perioadei de tranziție sau;
• sunt procesate în Marea Britanie după sfârșitul perioadei de tranziție pe baza Acordului de retragere ”.
În conformitate cu dispozițiile capitolului V din Regulamentul general european privind protecția datelor („GDPR”), transferul de date cu caracter personal din țările SEE către țările din afara SEE poate fi efectuat dacă se aplică anumite garanții, cum ar fi:
- clauze standard privind protecția datelor cu caracter personal;
- reguli corporative obligatorii;
- coduri de conduită și certificare;
- derogări.
Datele personale ale subiecților aflați în afara Regatului Unit pot fi prelucrate în Regatul Unit după 31 decembrie 2020, dacă:
1. este transmis în Regatul Unit sau procesat în alt mod în Regatul Unit înainte de 31 decembrie 2020; sau
2. este transmis în Regatul Unit sau procesat în alt mod în Regatul Unit după 31 decembrie 2020 pe baza Acordului de retragere.
Legea privind protecția datelor 2018 adoptă cerințele GDPR din UE în legislația britanică. Guvernul Marii Britanii a emis un instrument legal – Regulamentul privind protecția datelor cu privire la confidențialitate și comunicații electronice (modificări etc.) (retragere din UE) 2019 – care modifică Legea privind protecția datelor din 2018 și o combină cu cerințele GDPR UE pentru a forma un regim de protecție a datelor care va funcționa într-un context britanic după Brexit – acest lucru va fi cunoscut sub numele de GDPR britanic.
GDPR din UE și GDPR din Marea Britanie propuse nu sunt foarte diferite, astfel încât organizațiile care prelucrează date cu caracter personal ar trebui să respecte în continuare cerințele din GDPR din UE. Cerințele GDPR ale UE, astfel cum sunt puse în aplicare de părțile 3 și 4 din Legea privind protecția datelor din 2018, vor continua să se aplice în scopul aplicării legii și al serviciilor de informații.
Reguli corporative și clauze contractuale standard care vor fi obligatorii
Dacă UE și Marea Britanie nu ajung la o decizie de adecvare până la 31 decembrie 2020, organizațiile din Marea Britanie care prelucrează datele personale ale rezidenților UE vor trebui să se bazeze pe alte garanții. După ce Marea Britanie părăsește UE, Biroul comisarului pentru informații nu va mai fi o autoritate de supraveghere în temeiul GDPR al UE și nu va putea aproba transferurile de date cu caracter personal din SEE către Marea Britanie.
Ce sancțiuni în caz de nerespectare a normelor se vor aplica după 31 decembrie 2020?
Companiile britanice care continuă să aibă legături de afaceri cu UE după Brexit vor trebui să respecte regulamentul pentru a evita încălcările.
Încălcările cerințelor GDPR ale UE pentru transferul de date cu caracter personal către țări terțe sau organizații internaționale sunt supuse unui nivel mai ridicat de amenzi administrative: până la 20 de milioane EUR sau 4% din cifra de afaceri globală anuală – oricare dintre acestea este mai mare. Organizațiile care prelucrează datele cu caracter personal ale rezidenților UE ar trebui, prin urmare, să instituie măsuri pentru a se asigura că vor continua să respecte legea după 31 decembrie 2020 în cazul în care nu se ia o decizie adecvată.