Захист даних після Brexit – що далі?

Захист даних після Brexit – це складна та постійно розвивається тема, яка не є гарною новиною для британського бізнесу. Малий та середній бізнес, ймовірно, постраждає найбільше, ніж великі компанії.

Основна проблема полягає в тому, що захист даних не розглядається детально в Торговельній угоді, хоча вона включає механізм «тимчасового мосту» для вільного потоку персональних даних з ЄС/ЄЕЗ до Великої Британії. Ми знаємо, що уряд Великої Британії зараз формує свою стратегію та дав зрозуміти, що дані слід розглядати як можливість, а не як загрозу, що ближче до американського, а не європейського підходу. З плином часу, ймовірно, модель захисту даних у Великій Британії зміниться та може відрізнятися від моделі ЄС. Наразі застосовується кілька режимів:

• Режим GDPR у Великій Британії: це нова спеціалізована версія GDPR у Великій Британії, що базується на GDPR ЄС.
• Режим GDPR ЄС: це оригінальний GDPR, який застосовується до всіх 27 держав-членів Європейського Союзу, а також до Норвегії, Ісландії та Ліхтенштейну.
• Розрив у достатності або застарілий режим GDPR – це не застосовуватиметься, якщо Велика Британія отримає остаточне рішення ЄС щодо достатності.

  • Європейська комісія підготувала проєкт рішення, в якому йдеться, що GDPR Великої Британії та DPA 2018 забезпечують рівень захисту персональних даних, що передаються з ЄС/ЄЕЗ, який по суті еквівалентний тому, що гарантується GDPR ЄС. Рішення потребує подальшого затвердження, а політичні фактори та ризики можуть затримати його ратифікацію.

Надсилання даних за кордон:

• Обов'язкові корпоративні правила (ОКП) залишаються золотим стандартом
  • ОКП розроблені для того, щоб дозволити багатонаціональним компаніям передавати персональні дані з ЄЕЗ до компаній своєї групи, розташованих за межами ЄЕЗ (включаючи Велику Британію з 31 грудня 2020 року).
• Стандартні договірні положення (СДП) – це затверджені шаблонні умови, які забезпечують дотримання стандартів GDPR (за умови дотримання умов СДП)

  • ICO має намір опублікувати нові Додаткові довірчі клаузи Великої Британії у 2021 році. Воно підготувало змінену версію чинних Додаткових довірчих клаузул ЄС, щоб вони відповідали умовам Великої Британії. У певний момент Додаткові довірчі клаузи ЄС можуть бути недійсними для переказів з Великої Британії.

  • Наразі вони перебувають на стадії консультацій, і після їх затвердження існує річний перехідний період для їх використання. Ймовірно, вони будуть дійсними там, де застосовується GDPR ЄС. Залишається з'ясувати, чи схвалить їх Велика Британія, але в іншому випадку вони будуть недійсними для передачі даних з Великої Британії відповідно до GDPR Великої Британії.

• Інші винятки з правила (див. слайди та запис нижче).

А як щодо співробітників із захисту даних (DPO)?

• Якщо наразі ви зобов’язані мати Службового посвідчення особи з захисту даних (СПО), ця вимога залишиться чинною, незалежно від того, чи це передбачено GDPR Великої Британії, чи GDPR ЄС. Ви можете й надалі мати СПО, який охоплює Велику Британію та ЄЕЗ. СПО може й надалі знаходитися у Великій Британії.
• Однак, згідно з GDPR Великої Британії та ЄС, ваш спеціаліст із захисту даних має бути легкодоступним з кожного місця роботи в ЄЕЗ та Великій Британії, а також має експертні знання з обох режимів.

Що тобі слід робити зараз?

• Найважливіший перший крок – це розуміння ваших потоків даних та задіяних місць розташування (вам потрібно розрізняти обробку у Великій Британії та в ЄС. Надавайте пріоритет потокам, що містять великі обсяги, дані спеціальної категорії або дані про кримінальні вироки та правопорушення, критично важливі для бізнесу передачі та ті, що стосуються ключових регіонів з підвищеним ризиком, таких як США). MyDocSafe створив інструмент GDPR для запису та картографування таких потоків даних, який служить як платформою для аудиту, так і для управління конфіденційністю. Наразі він доступний лише для нових корпоративних клієнтів, тому, будь ласка, зв’яжіться з нами, щоб дізнатися більше.
• Озброївшись своїм розумінням потоків даних, вам потрібно буде вирішити, чи варто вживати подальших кроків, таких як:
  • Звернення за юридичною консультацією щодо оновлення ваших ОКП, СУД, Повідомлень про конфіденційність та Угод про обробку даних, а також як відстежувати зміни в законодавстві
  • Призначити представників ЄС, Великої Британії та СНД?
  • Визначте відповідний головний наглядовий орган
  • Переконайтеся, що ваш спеціаліст із захисту даних буде легкодоступним з будь-якого місця роботи у Великій Британії та ЄЕЗ, і що він має досвід роботи з усіма режимами.

Наш вердикт

Ми вважаємо, що чинний правовий режим не є вигідним для малого та середнього бізнесу Великої Британії, який, ймовірно, матиме труднощі з дотриманням вимог або просто проігнорує всю цю тему. Ті, хто має операції у Великій Британії, ймовірно, вважають, що з цієї причини їм не варто надто хвилюватися, поки вони зберігають дані у Великій Британії. Але більшість із них навіть не знають, чи це так. Не було особливого ентузіазму з'ясувати це, коли вперше було запроваджено GDPR. Ми зібрали деякі окремі дані, які свідчать про те, що мало хто пройшов процес зіставлення даних, і дуже мало хто використовував для цього належні програмні інструменти. Це одна з причин, чому наш власний інструмент GDPR Dashboard, який був створений спеціально для цієї мети, і який ми на той час роздавали безкоштовно, більше не буде доступний новим клієнтам малого та середнього бізнесу.