БРЕКЗИТ И GDPR - КАКВИ СА РЕГУЛАЦИИТЕ ВЪРХУ ЛИЧНИТЕ ДАННИ?
Както вече ви информирахме в предходния ни материал, от 01.01.2021 г. Обединеното кралство вече официално е трета държава и правото на ЕС не се прилага в него. След края на преходния период за BREXIT изникват редица важни въпроси, които ще засегнат бизнеса с Обединеното кралство. Темата за личните данни и приложението на правилата на Общия регламент за защита на лични данни (ОРЗЛД или GDPR), разбира се, не прави изключение.
От 01.01.2021 г. Обединеното кралство вече официално е трета държава и правото на ЕС не се прилага в него.
Като правило ОРЗЛД забранява трансферът на лични данни от ЕС към трети държави (каквато вече е и Обединеното кралство), освен в предвидените от Регламента изключения и при спазване на приложимите му разпоредби. Най-общо изключенията се свеждат до следните хипотези:
- Предаване на данни на база на решение относно адекватно ниво на защита – Европейската комисия е компетентният орган, който може да реши, че определена трета държава (или международна организация) предоставя адекватно ниво на защита на данните, а решението й има действие по отношение на целия ЕС. В тези случаи предаването на лични данни на такава трета държава може да се извършва, без да е необходимо допълнително разрешение. Следва да се има предвид обаче, че ЕК има правомощие да отменя такива свои решения по всяко време.
- Предаване на данни с подходящи гаранции - администраторът или обработващият лични данни може да предава лични данни на трета държава (или международна организация) само ако е предвидил подходящи гаранции и при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита. Подходящите гаранции се определят посредством конкретни правни механизми, установени от компетентния надзорен орган, задължителни фирмени правила, установени съгласно изискванията на Регламента и/ или стандартни клаузи за защита на данните, приети от ЕК. Тук е добре да се отчете, че тази хипотеза често е неприложима за някои от държавите – членки (вкл. за България);
- Предаване на данни въз основа на съдебно/ арбитражно решение или на решение на административен орган на трета държава - всяко такова решение, с което от администратор или обработващ лични данни се изисква да предаде или разкрие лични данни, могат да бъдат признати или да подлежат на изпълнение по какъвто и да било начин само ако се основават на международно споразумение между трета държава и ЕС или негова държава-членка, и без да се засягат другите основания за предаване на данни съгласно ОРЗЛД;
- Други особени случаи, предвидени в ОРЗЛД, при които трансферът се разрешава – доста ограничени хипотези, при които отговорността на страните, осъществяващи трансфера на лични данни, е завишена.
С оглед на изложеното, за всички представители на бизнеса от ЕС, запознати с ограниченията на ОРЗЛД и имащи отношения с Обединеното кралство, беше от първостепенно значение темата за трансфера на лични данни да бъде уредена като изключение от общото правило на ОРЗЛД за забрана.
В Споразумението за търговия и сътрудничество между ЕС и Обединеното кралство е предвидено, че след 01.01.2021 г. предаването на данни между Европейското икономическо пространство и Обединеното кралство ще може да продължи да се осъществява без допълнителни правни мерки за период до 6 месеца.
В този шестмесечен период се очаква ЕК да вземе решение относно адекватното ниво на защита по отношение на Обединеното кралство, като, в случай че такова е налице преди изтичането на 6-те месеца, то този период ще се прекрати и ще започнат да се прилагат новите правила, определени с решението на ЕК.
Още преди, а и по време на преходния период за Брекзит, правителството на Обединеното кралство предприе допълнителни мерки относно обработването и защитата на лични данни като транспонира напълно изискванията на ОРЗЛД в националното си законодателство, известно като “UK GDPR”. Надзорният орган на Обединеното кралство за защита на личните данни беше един от най-активните в Европа при въвеждането и прилагането на новите правила на Регламента още преди влизането в сила на Регламента през 2018 г. Ето защо експертите оценяват, че заложените стандарти при международен трансфер на лични данни в Обединеното кралство към настоящия момент са съобразени с тези в ЕС, установени от ОРЗЛД.
В случай, че все пак в определения шестмесечен период ЕК не вземе решение относно адекватното ниво на защита по отношение на Обединеното кралство, то тогава ще бъде необходимо да се прилагат допълнителни правни мерки за защита при трансфера на лични данни между ЕС и Обединеното кралство. Такива са „Стандартните договорни клаузи“ – определени договорни клаузи, които следва да се прилагат между страните и са определени от ЕК като такива, които осигуряват достатъчна защита при международното предаване на лични данни. Към настоящия момент този механизъм се определя като един от най-гъвкавите за бизнеси, които не могат да се позоват на решение за адекватно ниво на защита. Установените от ЕК Стандартни договорни клаузи са два типа:
• При предаване на данни от администратор от ЕС към администратор извън ЕС/ ЕИП;
• При предаване на данни от администратор от ЕС към обработващ извън ЕС/ ЕИП;
Не бива обаче да се приема, че с включването на тези клаузи като част от основния търговски договор са изпълнени изискванията на ОРЗЛД. Оценката на риска по отношение на насрещната страна и по отношение на надеждността за изпълнение на предвидените клаузи следва да бъде задължителна част при встъпването в такива отношения и изпълнението им. В случай че една от страните не успее да изпълни условията на уговорените стандартни договорни клаузи, то предаването на данни няма да бъде законно и може да бъде предпоставка за прекратяване на бизнес отношенията, а и да доведе до налагане на санкции.
Материалът е изготвен от Адвокатско дружество „Мургова и партньори“. Дружеството е член на Българска стопанска камара и има значителен опит в консултирането на онлайн търговци.