Takmer až do záveru minulého roka sme spolu s Vami netušili, ako bude vyzerať dohoda medzi Spojeným kráľovstvom a EÚ ohľadom vystúpenia Spojeného kráľovstva z EÚ, a či k takejto dohode vôbec dôjde.
Od 1. januára 2021 je účinný set dohôd medzi EÚ a Spojeným kráľovstvom, a venuje sa aj úprave osobných údajov. O tom či a ako možno ďalej prenášať osobné údaje do Spojeného kráľovstva, či k tomu je potrebná ďalšia dokumentácia, a čo sa môže zmeniť od júna 2021 v tejto oblasti, sa dozviete v nasledovnom článku.
PRECHOD K BREXITU
Už od roku 2016, kedy sa v Spojenom kráľovstve konalo referendum o vystúpení z Európskej únie, ľudovo, o Brexite, otázky vzájomnej spolupráce so Spojeným kráľovstvom sa stali jednou z ústredných tém európskeho podnikateľského prostredia. Pritom nutne so zmenou pravidiel pre obchod so Spojeným kráľovstvom súviseli okrem obťažnejších tokov tovarov, služieb a ľudí do/zo Spojeného kráľovstva, aj toky osobných údajov a ich ochrana.
TRI DOHODY AKO RÁMEC FUNGOVANIA PO BREXITE
Od 1. 1. 2021 sa Spojené kráľovstvo stalo treťou krajinou, avšak s dočasným špeciálnym režimom. Tento špeciálny režim bol zabezpečený prijatím troch dohôd o regulácii vzťahov medzi EÚ a Spojeným kráľovstvom z decembra 2020 v post-Brexitovom období. Išlo o :
- Dohodu o obchode a spolupráci („Obchodná dohoda“),
- Dohodu o bezpečnostných postupoch pri výmene a ochrane utajovaných skutočností,
- Dohodu o spolupráci pri bežnom a mierovom využívaní jadrovej energie.
KRÁTKODOBÉ RIEŠENIE S NÁZVOM OBCHODNÁ DOHODA
Z uvedených práve Obchodná dohoda určila smerovanie a pravidlá vzájomného obchodného styku, ako aj prenosu osobných údajov po Brexite. Teda aspoň ich načrtla. Obchodná dohoda na základe ustanovení článku DIGIT 6, 7 a LAW. GEN. 4 umožnila nepretržitý tok osobných údajov do Spojeného kráľovstva z EÚ s tým, že Spojené kráľovstvo z hľadiska prenosu osobných údajov nie je dočasne fakticky považované za tretiu krajinu.
Avšak, tento stav prenosu údajov môže podľa Obchodnej dohody trvať maximálne do konca júna 2021. Presnejšie toto obdobie trvá štyri mesiace (od 1. 1. 2021) a predĺži sa o ďalšie dva mesiace, pokiaľ Spojené kráľovstvo alebo Európska komisia nevznesie námietku.
Okrem námietky môže toto prechodné obdobie skrátiť aj rozhodnutie Európskej komisie o primeranosti. Pod uvedeným rozhodnutím si možno predstaviť posúdenie legislatívy spracovania a ochrany osobných údajov v Spojenom kráľovstve Európskou komisiou, na základe ktorého môže súčasný režim „voľného“ prenosu osobných údajov pokračovať podľa podmienok stanovených v takomto rozhodnutí. Rozhodnutie o primeranosti je v súčasnosti základom prenosu údajov napríklad do Japonska, ale najznámejšie bolo donedávna ešte platné rozhodnutie o primeranosti pre prenos údajov do USA pod názvom Privacy Shield.
Aby sme to zhrnuli v jednej vete, do júna 2021 sa z hľadiska prenosu osobných údajov do Spojeného kráľovstva z pohľadu slovenského či českého podnikateľa, veľmi pravdepodobne nič nemení.
Ochrana osobných údajov po júni 2021 Na mieste je otázka, za akých okolností budú môcť po tomto termíne spracovať osobné údaje napríklad obchodné spoločnosti so sídlom alebo s miestom uloženia serverov v Spojenom kráľovstve. Rovnako, je otázkou pre dotknuté osoby, ako im bude zabezpečené, že po prenose ich údajov do Spojeného kráľovstva, budú tieto údaje dostatočne chránené podľa úniových štandardov ochrany údajov.
Na základe súčasne nastavenej legislatívy a predpokladaného vývoja do úvahy prichádzajú najmä dva varianty: s vydaním rozhodnutia o primeranosti Európskou komisiou alebo bez neho.
PRENOS ÚDAJOV PO VYDANÍ ROZHODNUTIA O PRIMERANOSTI
Spojené kráľovstvo v plnej miere zdieľa reguláciu ochrany osobných údajov platnú v Európskej únii, ako sa členskému štátu patrí. Z tohto hľadiska britská verzia GDPR, známa ako UK GDPR, by spolu s ďalšími prijatými predpismi mala postačovať, ako zodpovedajúci regulačný základ ochrany osobných údajov. V rámci vzájomných obchodných vzťahov možno predpokladať, že prijatie rozhodnutia o primeranosti Európskou komisiou je aj cieľom súčasného britského politického vedenia.
V prípade, že Európska komisia príjme rozhodnutie o primeranosti, bude potvrdené, že osobné údaje môžu voľne plynúť z EÚ do Spojeného kráľovstva aj naďalej, a teda sa vo veľkej miere zachová súčasný režim.
Tento variant sa javí ako pravdepodobný, keďže 19. 2. 2021 Európska komisia zverejnila návrh dvoch rozhodnutí o primeranosti. Návrhy však majú pred sebou ešte dlhú cestu. Najskôr sa k nim vyjadrí Európsky výbor pre ochranu osobných údajov, potom je potrebné ich schválenie zástupcami jednotlivých členských štátov a až následne môžu byť návrhy riadne prijaté Európskou komisiou, ako rozhodnutia o primeranosti.
… AK EURÓPSKA KOMISIA NEPIJME ROZHODNUTIE
Druhým východiskom situácie je, ak náhodou vyššie uvedený proces nedôjde do zdarného konca, že Európska komisia neprijme rozhodnutie o primeranosti do konca júna 2021. V takom prípade by sa od 1. 7. 2021
Spojené kráľovstvo dostalo do režimu bežných tretích krajín v zmysle GDPR.
Pretavené do praxe, aj naďalej bude možné prenášať údaje z EÚ do Spojeného kráľovstva, avšak takémuto prenosu bude musieť predchádzať posúdenie bezpečnosti prenosu a ochrany osobných údajov v Spojenom kráľovstve obchodnou spoločnosťou, ktorá takýto prenos plánuje vykonávať. V takomto prípade sú najčastejším základom prenosu tzv. štandardné zmluvné doložky.
Štandardné zmluvné doložky musia byť súčasťou zmlúv, na základe ktorých sú osobné údaje prenášané do tretích krajín a tam spracúvané ďalším subjektom. Práve uvedené ustanovenia zmlúv majú predstavovať záruky, že osobné údaje v tretích krajinách budú spracúvané v súlade s princípmi európskej regulácie ochrany osobných údajov.
Skrátene, ak Európska komisia neprijme rozhodnutie o primeranosti v súvislosti s ochranou osobných údajov v Spojenom kráľovstve, na ďalší prenos údajov bude potrebné mať uzatvorené zmluvy obsahujúce štandardné zmluvné doložky. Len zaradenie zmienených ustanovení do už existujúcich zmlúv, však, samo o sebe postačovať nebude, je potrebné ich doplniť ďalšími nástrojmi, ktoré prinieslo rozhodnutie Súdneho dvora EÚ vo veci Schrems II, a samozrejme, vynaložiť aspoň primeranú snahu o vynucovanie povinnosti stanovených týmito ustanoveniami.
PÁR SLOV NA ZÁVER
Podmienky prenosu osobných údajov do Spojeného kráľovstva budú závisieť od rozhodnutia Európskej komisie. Dovtedy sa je potrebné pripraviť na oba varianty, keďže podobne ako v prípade Obchodnej dohody, môže prísť (alebo neprísť) finálne riešenie až v poslednej chvíli. Každý vývozca osobných údajov do Spojeného kráľovstva by mal zvážiť, ako pristúpi k riešeniu takto nastavenej situácie, a to aj napriek alebo práve kvôli neistote, ktorá je s ňou spojená. Jedným z riešení je spoľahnúť sa na to, že Európska komisia príjme už existujúce návrhy rozhodnutí o primeranosti a Spojené kráľovstvo sa nestane tretou krajinou. V takomto prípade nie je potrebné robiť nič.
Ak však vývozca chce mať istotu, že jeho obchodná činnosť nebude negatívne ovplyvnená nepredvídateľnosťou politických procesov a rozhodnutí, je potrebné zvážiť prijatie zodpovedajúcich opatrení, aby mohol vo svojej činnosti bezpečne pokračovať aj v prípade, že Európska komisia rozhodnutie o primeranosti neprijme. Najvhodnejším riešením bude uzatvorenie štandardných zmluvných doložiek alebo ich začlenenie do už existujúcich zmlúv. S týmto, ako aj s problematikou ochrany osobných údajov sme Vám pripravení pomôcť a poskytnúť naše služby, na ktoré sa môžete spoľahnúť.
autori článku: Štěpán Štarha – Partner, Richard Otevřel – Counsel, advokátska kancelária HAVEL & PARTNERS
- GDPR vás nemusí strašiť. V dátach sa už nestratíte, alebo ako môžete optimalizovať svoje procesy a zlepšiť svoje výsledky v oblasti správy dát.
- Školenie 9.3.2023: Ako zamestnávať v roku 2023 – postupy, ktoré musí vedieť každý zamestnávateľ a k tomu vzory nevyhnutnej dokumentácie
- Povinné školenia pre podnikateľov
