Brexit

Uz sve događaje koji se u zadnje vrijeme odigravaju na političkom planu, izgleda da je izlazak Ujedinjenog kraljevstva iz Europske unije vrlo vjerojatan. Dogodi li se to, Ujedinjenom kraljevstvu (UK), Europskoj uniji (EU) pa čak i cijelom svijetu predstoje brojne pravne poteškoće. Ovo će se pogotovo istaknuti dođe li do „No-deal Brexita“, kako se to i očekuje. Naime, „No-deal Brexit“ je način izlaska UK-a iz EU koji ne uključuje sklapanje posebnog sporazuma o izlasku, odnosno sporazuma kojim bi se ustanovila neka prijelazna prava i obveze. U tom slučaju, pravo EU će u potpunosti prestati važiti u UK-u. U ovom članku ćemo ukratko izložiti posljedice koje bi „No-deal Brexit“ imao na zaštitu osobnih podataka.

Treća zemlja

No-deal Brexitom“, UK će postati ono što se po Općoj uredbi o zaštiti podataka (GDPR) smatra trećom zemljom koja ne osigurava primjerenu razinu zaštite osobnih podataka. To znači da će UK biti izloženo znatnim ograničenjima i ispitivanjima u vezi obrade osobnih podataka.

Primjena GDPR-a

Međutim, GDPR će se nastaviti primjenjivati na veliki broj UK kompanija. Naime, područje primjene GDPR-a proteže se i na obradu podataka ispitanika u EU koju obavlja voditelj i izvršitelj obrade bez poslovnog nastana u EU, ako su aktivnosti obrade povezane s nuđenjem robe ili usluga takvim ispitanicima u EU, te ako su aktivnosti obrade povezane s praćenjem ispitanikova ponašanja u EU. GDPR će se stoga primjenjivati na mnoge kompanije u UK-u, budući da mnogo njih posluje na području EU, te će morati biti usklađene s GDPR-om žele li nastaviti sa svojim poslovanjem u EU.

Obveze u vezi sa zaštitom osobnih podataka

Navedimo neke od obveza kojih će se UK kompanije, koje su obuhvaćene GDPR-om, morati pridržavati:

  • Obrada osobnih podataka morat će se provoditi na jednom od šest pravnih temelja koje GDPR navodi.
  • Prilikom obrade osobnih podataka, voditelji obrade će i dalje morati pružati obavijest o obradi ispitanicima koja sadrži važne informacije o obradi i njihova prava u vezi s obradom.
  • Voditelji i izvršitelji obrade iz UK-a neće moći prenijeti te osobne podatke drugim trećim zemljama bez pridržavanja složenih pravila GDPR-a za prijenos osobnih podataka trećim zemljama. Naime, GDPR za zakonit prijenos podataka trećim zemljama traži postojanje odluke o postojanju primjerene razine zaštite ili postojanje jedne od zaštitnih mjera koje su voditelji i izvršitelji obrade predvidjeli. Zaštitne mjere morat će se predvidjeti bez obzira na to što UK zakoni to možda ne zahtijevaju.
  • Kompanije neće više moći slobodno odabrati izvršitelja obrade, već će svaki izvršitelj obrade morati zadovoljavati uvjete koje GDPR propisuje.
  • Budući da britansko nadzorno tijelo (ICO) više neće biti nadležno nadzorno tijelo kako ga određuje GDPR, povreda osobnih podataka ispitanika iz EU će se umjesto jednom nacionalnom, u ovom slučaju britanskom nadzornom tijelu, trebati prijaviti svakom nadzornom tijelu država u vezi čijih državljana se dogodila povreda osobnih podataka. To znači da će u nekim slučajevima postojati obveza prijavljivanja povrede prema 27 različitih nadzornih tijela.
  • Voditelji i izvršitelji obrade iz UK-a morat će imenovati svog predstavnika koji će ih predstavljati u pogledu njihovih obveza na temelju GDPR-a.

Pravni temelji za obradu osobnih podataka

Nadalje, pravo UK-a neće više biti pravo države članice EU. To znači da ono više neće biti valjani pravni temelj za obradu osobnih podatka stanovnika EU. Naime, GDPR navodi šest pravnih temelja koji čine obradu osobnih podataka zakonitom. Od toga dva temelja neće moći opravdati svoje postojanje pravom UK-a i to su slučajevi kad je: 1. obrada nužna radi poštovanja pravnih obveza voditelja obrade; te 2. obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade. „Pravna obveza“ i „javni interes“ (koji je definiran nacionalnim zakonima) moći će biti pravni temelj samo ako proizlaze iz prava EU ili prava države članice EU.

Britansko nadzorno tijelo (ICO)

U vezi s već spomenutim, izlaskom UK-a iz EU, britansko nadzorno tijelo ICO neće više biti nadležno nadzorno tijelo za obradu podataka na koju se primjenjuje GDPR, a koju obavlja voditelj ili izvršitelj iz UK. Nadležno nadzorno tijelo će stoga potencijalno biti nadzorno tijelo svake od država članica, ovisno o konkretnoj obradi te se na UK kompanije neće primjenjivati odredbe o vodećem nadzornom tijelu. Dakle, kompanija iz UK-a koja pruža usluge ili prati ponašanje pojedinca na području EU bit će pod nadzorom nadzornog tijela svake od država čije područje je povezano s tim aktivnostima.

Što se tiče mehanizama certifikacije, koji su namjenjeni pružanju doprinosa ispravnoj primjeni GDPR-a, koje je ICO odobrio, oni više neće biti valjani u EU, odnosno neće više biti priznati kao mehanizmi koje je odobrilo EU nadzorno tijelo. Ovo se odnosi na kodekse ponašanja i na obvezujuća korporativna pravila koje je ICO odobrio te na sve buduće programe certifikacije.

Adekvatnost zaštite osobnih podataka

Ono što preostaje za UK kako bi se uklonile prethodno navedene poteškoće jest zahtjev prema EU da se UK proglasi trećom zemljom koja osigurava zadovoljavajuću razinu zaštite osobnih podataka. Dobije li neka treća država takav status, ona može poslovanje na području EU nastaviti bez prepreka koje GDPR postavlja trećim zemljama u vezi s prijenosom osobnih podataka. Takav status su već dobile države Andora, Argentina, Kanada, Farski otoci, Izrael, Japan, Novi Zeland, Švicarska i Urugvaj.

Nakon izlaska iz EU, UK će vjerojatno podnijeti zahtjev za stjecanje navedenog statusa. Međutim, ishođenje odluke o adekvatnosti veoma je složen proces koji bi mogao potrajati godinama te postoje države koje su već zatražile donošenje te odluke prije UK-a.

Marija Bošković Batarelo, mag.iur