GDPR si Brexit- ce trebuie sa stii

Perioada de tranziție pentru retragerea Regatului Unit din Uniunea Europeană s-a  încheiat la 31 decembrie 2020. Aceasta înseamnă că, de la 1 ianuarie 2021, Regatul Unit nu va mai aplica GDPR la prelucrarea datelor cu caracter personal și  un cadru legal separat privind protecția datelor va fi în vigoare în Marea Britanie.

În consecință, începând cu 1 ianuarie 2021, toate transferurile de date cu
caracter personal între părțile interesate supuse GDPR și entitățile din Regatul Unit vor constitui un transfer de date cu caracter personal către o țară terță și, prin urmare, vor fi supuse dispozițiilor capitolului V GDPR.

În absența unei decizii de adecvare aplicabile Regatului Unit în conformitate cu articolul 45 GDPR,
astfel de transferuri vor necesita garanții adecvate (de exemplu, clauze standard de protecție a
datelor, reguli corporative obligatorii1, coduri de conduită …), precum și drepturi aplicabile persoanei
vizate și căi de atac legale eficiente pentru persoanele vizate, în conformitate cu articolul 46 GDPR.

Controlorii și / sau procesatorii vor trebui, de asemenea, să respecte alte obligații care decurg din GDPR, în special cu privire la necesitatea actualizării înregistrărilor de procesare și a notificărilor de confidențialitate pentru a menționa transferurile către Marea Britanie.

Pentru transferurile de date din Marea Britanie către SEE, EDPB ar sugera consultarea regulată a site-
ului web al guvernului britanic și al site-ului web al ICO pentru îndrumări actualizate.

In alta ordine de idei , regulile pentru transfer catre tari care nu sunt membre UE ,conform articolului 44 din GDPR, exportatorul de date transferă date cu caracter personal către țări terte  sau organizații internaționale trebuie, pe lângă respectarea capitolului V din GDPR, să îndeplinească și condițiile celorlalte dispoziții din GDPR. În special, fiecare activitate de prelucrare trebuie să respecte principiile protecției datelor din articolul 5 GDPR, sunt legale în conformitate cu articolul 6 GDPR și să respecte articolul 9 GDPR în cazul unor categorii speciale de date. Prin urmare, un test în doi pași trebuie să fie aplicat: în primul rând, trebuie să se aplice o bază legală prelucrării datelor .

Astfel, GDPR specifică în articolul 46 că „în absența unei decizii în conformitate cu articolul 45 alineatul (3), operatorul sau procesatorul poate transfera date cu caracter personal către o țară terță sau către o organizație internațională numai dacă controlerul sau procesorul a furnizat garanții adecvate și cu condiția ca sunt disponibile drepturi aplicabile ale persoanelor vizate și căi de atac legale eficiente pentru persoanele vizate ”.

Astfel garanțiile corespunzătoare pot fi prevăzute de un instrument obligatoriu din punct de vedere juridic și executoriu între organismele publice (articolul 46 alineatul (2) litera (a) GDPR) sau, sub rezerva autorizării din partea SA competentă, de către dispoziții care trebuie inserate în acordurile administrative dintre organismele publice care includ drepturi aplicabile și eficiente ale persoanei vizate (articolul 46 alineatul (3) litera (b) GDPR). După cum a clarificat Curtea din
Justiția Uniunii Europene (CJUE), astfel de garanții adecvate trebuie să fie capabile să asigure acest lucru persoanelor vizate ale căror date cu caracter personal sunt transferate beneficiază în esență de un nivel de protecțieechivalent cu cel garantat în SEE.

Care sunt punctele fierbinti de urmarit pentru transferul datelor in afara spatiului UE si Marea Britanie ?

Scop și domeniu de aplicare– Acordurile internaționale ar trebui să definească domeniul lor de aplicare și scopurile lor ar trebui să fie în mod explicit și specific determinat. În plus, acestea ar trebui să precizeze clar categoriile de date cu caracter personal afectate și tipul de prelucrare a datelor cu caracter personal care sunt transferate și prelucrate în conformitate cu acord.

Definiții– Acordurile internaționale ar trebui să conțină definiții ale conceptelor și drepturilor de bază ale datelor cu caracter personal conform GDPR relevant pentru acordul în cauză. Ca exemplu, astfel de acorduri ar trebui sa includa următoarele definiții importante: „date cu caracter personal”, „prelucrare cu caracter personal date ”,„ controlor de date ”,„ procesor de date ”,„ destinatar ”și„ date sensibile ”.

Principiul limitării scopului– Acordurile internaționale trebuie să specifice scopurile pentru care urmează să fie transferate datele cu caracter personal și procesate, inclusiv scopuri compatibile pentru prelucrarea ulterioară, precum și pentru a se asigura că datele nu vor fi procesate în continuare în scopuri incompatibile. Scopurile incompatibile pot include stocarea pentru scopuri de arhivare în interes public, precum și prelucrare pentru cercetare științifică sau istorică sau scopuri statistice. Se recomandă, pentru o mai bună claritate, ca scopurile specifice pentru prelucrarea și transferul datelor sunt enumerate în acordul internațional în sine. Pentru a evita orice risc de „funcționare fluentă”, astfel de acorduri ar trebui să specifice și datele transferate nu poate fi utilizat în alte scopuri decât cele menționate în mod expres în acord, cu excepția celor stabilite.

Principiile de precizie și minimizare a datelor– Acordul internațional trebuie să specifice că datele transferate și prelucrate ulterior trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt transmise și prelucrate ulterior.
În practică, acest principiu de minimizare a datelor este important pentru a evita transferul de date cu caracter personal atunci când sunt inadecvate sau excesive.
În plus, datele ar trebui să fie corecte și actualizate, având în vedere scopurile pentru care sunt
prelucrate. Prin urmare, un acord internațional trebuie să prevadă că partea care face transferul se va asigura că datele personale transferate în temeiul acordului sunt corecte și, dacă este cazul, actualizate.
În plus, acordul ar trebui să prevadă că, dacă una dintre părți devine conștientă că este inexactă
sau datele expirate au fost transmise sau sunt procesate, trebuie să notifice cealaltă parte fără
întârziere. În cele din urmă, acordul ar trebui să asigure faptul că, în cazul în care se confirmă faptul că datele transmise sau sunt transmise procesate sunt inexacte, fiecare parte care prelucrează datele trebuie să ia toate măsurile rezonabile pentru a rectifica sau șterge informațiile.

Principiul limitării stocării–  Părțile trebuie să se asigure că acordul internațional conține o clauză de păstrare a datelor. Această clauză ar trebui să specifice în special faptul că datele cu caracter personal nu vor fi păstrate pe termen nelimitat, ci trebuie păstrate într-un formular care permite identificarea persoanelor vizate numai pentru timpul necesar scopului pentru care a fost transferat și ulterior procesat. Aceasta poate include stocarea acestuia atât timp cât este necesar
scopuri de arhivare în interes public, scopuri de cercetare științifică sau istorică sau statistice
scopuri, cu condiția să fie puse în aplicare măsuri tehnice și organizatorice adecvate pentru
să protejeze drepturile și libertățile persoanelor vizate, cum ar fi măsuri tehnice suplimentare (de ex.
măsuri de securitate, pseudonimizare) și restricții de acces. Când o perioadă maximă de păstrare  nu este stabilita în legislația națională sau în normele interne / cadrul de reglementare al unei instituții internaționale organizație, ar trebui stabilită o perioadă maximă de păstrare în textul acordului.

Securitatea și confidențialitatea datelor– Părțile ar trebui să se angajeze să asigure securitatea și confidențialitatea datelor cu caracter personal prelucrarea și transferurile pe care le efectuează.
În special, părțile ar trebui să se angajeze să dispună de tehnici și organizații adecvate
măsuri de protecție a datelor cu caracter personal împotriva accesului accidental sau ilegal, distrugerii, pierderii, modificării sau divulgarea neautorizată. Aceste măsuri pot include, de exemplu, criptarea inclusiv în tranzit,pseudonimizare, marcarea informațiilor ca date cu caracter personal transferate din SEE, restricționarea cui are acces la date cu caracter personal, asigurând stocarea sigură a datelor cu caracter personal sau implementând politici concepute pentru a se asigura că datele personale sunt păstrate în siguranță și confidențiale.Nivelul de securitate ar trebui să ia în considerare riscurile, stadiul tehnicii și costurile aferente.Acordul internațional poate specifica în plus că, dacă una dintre părți devine conștientă cu privire la încălcarea datelor cu caracter personal, va informa cealaltă parte (părțile) cât mai curând posibil și o va folosi rezonabil și mijloace adecvate pentru remedierea încălcării datelor cu caracter personal și minimizarea potențialelor efecte adverse,inclusiv comunicând persoanei vizate o încălcare a datelor cu caracter personal, fără întârzieri nejustificate, unde că încălcarea datelor cu caracter personal va avea probabil un risc ridicat pentru drepturile și libertățile naturii persoană.
Se recomandă ca in calendarul de notificare pentru o încălcare a datelor cu caracter personal, precum și procedurile pentru comunicarea către persoana vizată sunt definite în acordul internațional.

Drepturile persoanelor vizate– Acordul internațional trebuie să asigure drepturile aplicabile și eficiente ale persoanelor vizate, astfel cum se specifică în articolul 46 alineatul (1) și considerentul 108 din GDPR.Drepturile disponibile persoanelor vizate, inclusiv angajamentele specifice asumate de părți
prevede astfel de drepturi, ar trebui să fie enumerate în acord. Pentru a fi eficient, acordul internațional
trebuie să prevadă mecanisme care să asigure aplicarea lor în practică. Mai mult, orice încălcare a datelor drepturile subiectului trebuie să aibă un remediu adecvat.

Dreptul la transparență- Părțile trebuie să se asigure că acordul internațional conține o formulare clară care descrie obligațiile de transparență ale părților.Astfel de obligații ar trebui să includă, pe de o parte, o notificare generală cu, cel puțin,informații despre cum și de ce organismele publice pot prelucra și transfera date cu caracter personal, relevanteinstrumentul utilizat pentru transfer, entitățile către care pot fi transferate astfel de date, drepturile disponibile persoane vizate și restricții aplicabile, mecanisme de reparare disponibile și detalii de contact pentru,depunerea unei reclamatii sau a unei cereri.

Drepturi de acces, rectificare, ștergere, restricționare a prelucrării și obiectii-Acordul internațional ar trebui să protejeze dreptul persoanei vizate de a obține informații despre și
acces la toate datele cu caracter personal referitoare la el / ea care sunt prelucrate, dreptul la rectificare, ștergere și restricționarea prelucrării și, dacă este cazul, dreptul de a vă opune prelucrării datelor din motive eferitoare la situația sa particulară.

In concluzie , urmare a Brexit , dar si transfer de date in tari non UE , trebuie sa se faca in baza unui acord international si tinand cont de nivelul de protectie a datelor din tarile respective.

Solicita consultanta la 0722-542812 .

Afla mai multe : Aici

Succes !

Amalia Salcie

Sursa : European Data Protection Board

Sursa foto : Google