Treća zemlja
„No-deal Brexitom“ UK će postati ono što se po Općoj uredbi o zaštiti podataka (GDPR) smatra trećom zemljom koja ne osigurava primjerenu razinu zaštite osobnih podataka. To znači da će biti izložena znatnim ograničenjima i ispitivanjima u vezi obrade osobnih podataka.
Primjena GDPR-a
Međutim, GDPR će se nastaviti primjenjivati na veliki broj UK kompanija. Naime, područje primjene GDPR-a proteže se i na obradu podataka ispitanika u EU-u koju obavlja voditelj i izvršitelj obrade bez poslovnog nastana u EU-u, ako su aktivnosti obrade povezane s nuđenjem robe ili usluga takvim ispitanicima u EU-u te ako su aktivnosti obrade povezane s praćenjem ispitanikova ponašanja u EU-u. GDPR će se stoga primjenjivati na mnoge kompanije u UK-u, budući da mnogo njih posluje na području EU-a te će morati biti usklađene s GDPR-om žele li nastaviti sa svojim poslovanjem u EU-u.
Obveze u vezi sa zaštitom osobnih podataka
Navedimo neke od obveza kojih će se UK kompanije, koje su obuhvaćene GDPR-om, morati pridržavati:
Pravni temelji za obradu osobnih podataka
Nadalje, pravo UK-a neće više biti pravo države članice EU-a. To znači da ono više neće biti valjan pravni temelj za obradu osobnih podatka stanovnika EU-a. Naime, GDPR navodi šest pravnih temelja koji čine obradu osobnih podataka zakonitom. Od toga dva temelja neće moći opravdati svoje postojanje pravom UK-a i to su slučajevi kad je: 1. obrada nužna radi poštovanja pravnih obveza voditelja obrade; te je 2. obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade. „Pravna obveza“ i „javni interes“ (koji je definiran nacionalnim zakonima) moći će biti pravni temelj samo ako proizlaze iz prava EU ili prava države članice EU-a.
Britansko nadzorno tijelo (ICO)
U vezi s već spomenutim, izlaskom UK-a iz EU-a, britansko nadzorno tijelo ICO neće više biti nadležno nadzorno tijelo za obradu podataka na koju se primjenjuje GDPR, a koju obavlja voditelj ili izvršitelj iz UK-a. Nadležno nadzorno tijelo će stoga potencijalno biti nadzorno tijelo svake od država članica, ovisno o konkretnoj obradi te se na UK kompanije neće primjenjivati odredbe o vodećem nadzornom tijelu. Dakle, kompanija iz UK-a koja pruža usluge ili prati ponašanje pojedinca na području EU-a bit će pod nadzorom nadzornog tijela svake od država čije područje je povezano s tim aktivnostima.
Što se tiče mehanizama certifikacije, koji su namjenjeni pružanju doprinosa ispravnoj primjeni GDPR-a, koje je ICO odobrio, oni više neće biti valjani u EU-u, odnosno neće više biti priznati kao mehanizmi koje je odobrilo EU nadzorno tijelo. Ovo se odnosi na kodekse ponašanja i na obvezujuća korporativna pravila koje je ICO odobrio te na sve buduće programe certifikacije.
Adekvatnost zaštite osobnih podataka
Ono što preostaje za UK kako bi se uklonile prethodno navedene poteškoće jest zahtjev prema EU-u da se UK proglasi trećom zemljom koja osigurava zadovoljavajuću razinu zaštite osobnih podataka. Dobije li neka treća država takav status, ona može poslovanje na području EU-u nastaviti bez prepreka koje GDPR postavlja trećim zemljama u vezi s prijenosom osobnih podataka. Takav status su već dobile države Andora, Argentina, Kanada, Farski otoci, Izrael, Japan, Novi Zeland, Švicarska i Urugvaj.
Nakon izlaska iz EU-a, UK će vjerojatno podnijeti zahtjev za stjecanje navedenog statusa. Međutim, ishođenje odluke o adekvatnosti veoma je složen proces koji bi mogao potrajati godinama te postoje države koje su već zatražile donošenje te odluke prije UK-a.
Marija Bošković Batarelo, mag.iur