Brexit: Το GDPR αναμένεται να γίνει πιο περίπλοκο από ποτέ

Η ημέρα του Brexit πλησιάζει, αλλά δεν υπάρχει καμία βεβαιότητα για το κατά πόσον η αποχώρηση του Ηνωμένου Βασιλείου από την ΕΕ θα συνοδεύεται ή όχι από ένα λεγόμενο “withdrawal agreement”  – ή όχι. Η προστασία δεδομένων είναι ένας σημαντικός τομέας που θα επηρεαστεί από το Brexit. Και κάτω από ένα σενάριο χωρίς σχετική συμφωνία για τα δεδομένα, ο αντίκτυπος της αποχώρησης του Ηνωμένου Βασιλείου από την ΕΕ γίνεται ακόμα πιο δραματικός. Υπάρχουν αρκετές ερωτήσεις που θέτουν οι πελάτες σχετικά με το ισχύον καθεστώς προστασίας δεδομένων (GDPR) για την επόμενη μέρα μετά το Brexit και οι συγκεκριμένες απαντήσεις εξαρτώνται από το μέγεθος των επιχειρήσεων, την τοποθεσία των καταστημάτων και των γραφείων τους, τον όγκο των διεθνών μεταφορών δεδομένων και τον τόπο εγκατάστασης των πελατών τους.

Συνεχίστε να διαβάζετε αν θέλετε να μάθετε περισσότερα σχετικά με τις τρεις συχνότερες ερωτήσεις που γίνονται για το Brexit.

1. Εάν το Ηνωμένο Βασίλειο εγκαταλείψει την ΕΕ χωρίς συμφωνία, μπορούν οι εταιρείες στο Ηνωμένο Βασίλειο να σταματήσουν να ανησυχούν για το GDPR; Από τεχνική άποψη, όταν το Ηνωμένο Βασίλειο εγκαταλείψει την ΕΕ, ο κανονισμός γενικής προστασίας δεδομένων της ΕΕ (GDPR) δεν θα είναι πλέον νόμος στο Ηνωμένο Βασίλειο. Ωστόσο η βρετανική κυβέρνηση έχει ήδη σχεδιάσει να υιοθετήσει το “UK GDPR”. Όπως υποδηλώνει η ονομασία, αυτό το σύνολο κανόνων θα ευθυγραμμιστεί στενά με το GDPR της ΕΕ και θα συνοδεύσει τον υφιστάμενο νόμο περί προστασίας δεδομένων του Ηνωμένου Βασιλείου του 2018. Ο συνδυασμός αυτών των δύο νομοσχεδίων θα μπορούσε ενδεχομένως να έχει αυστηρότερες επιπτώσεις στο γενικό καθεστώς προστασίας δεδομένων από ό,τι στο Ηνωμένο Βασίλειο σήμερα. Επιπλέον, οι επιχειρήσεις που εδρεύουν στο Ηνωμένο Βασίλειο και έχουν πελάτες στην ΕΕ  θα πρέπει να συμβαδίζουν με το GDPR της ΕΕ. Υπάρχουν επίσης τομείς στους οποίους ενδέχεται να μην υπάρχουν καθαροί κανόνες, αλλά οι επιχειρήσεις του Ηνωμένου Βασιλείου θα χρειαστεί να κάνουν προσαρμογές, πράγμα που θα οδηγήσει σε πρόσθετα μέτρα συμμόρφωσης. Πρόκειται, για παράδειγμα, για μέτρα σχετικά με τις διεθνείς μεταφορές δεδομένων, την ευθύνη, τις νέες απαιτήσεις κανονιστικής εποπτείας, τη σύσταση ενός εκπροσώπου της ΕΕ, κλπ. Εν ολίγοις, το GDPR θα σταματήσει να εφαρμόζεται στο Ηνωμένο Βασίλειο, αλλά αυτό που εξετάζεται είναι ένα κανονιστικό περιβάλλον που πρόκειται να γίνει πολύ πιο περίπλοκο για τις επιχειρήσεις του Ηνωμένου Βασιλείου.
2. Εάν το Ηνωμένο Βασίλειο εγκαταλείψει την Ευρωπαϊκή Ένωση, το Ηνωμένο Βασίλειο γίνεται “τρίτο μέρος” όσον αφορά την προστασία των δεδομένων. Τι σημαίνει αυτό? Ναι, την ημέρα που το Ηνωμένο Βασίλειο εγκαταλείπει την ΕΕ, το ΗΒ γίνεται τρίτο μέρος για την προστασία των δεδομένων και μια σειρά περιορισμών θα ισχύουν για τη διεθνή μεταφορά δεδομένων που περιλαμβάνει τη ροή δεδομένων προσωπικού χαρακτήρα από και προς το Ηνωμένο Βασίλειο. Αυτό το θέμα είναι, στην πραγματικότητα, ένα από αυτά που θα επηρεαστούν περισσότερο από το Brexit. Οι επιχειρήσεις πρέπει να εξετάσουν μια σειρά πιθανών σεναρίων ανάλογα με την κατεύθυνση και τις λεπτομέρειες των ροών δεδομένων τους. Για παράδειγμα, η μεταφορά προσωπικών δεδομένων από το Ηνωμένο Βασίλειο στις χώρες της ΕΕ θα είναι σε μεγάλο βαθμό ανεπηρέαστη. Για τις μεταφορές δεδομένων από το Ηνωμένο Βασίλειο σε χώρες εκτός της ΕΕ, οι επιχειρήσεις στο Ηνωμένο Βασίλειο πρέπει να εξετάσουν τους κανόνες που περιλαμβάνονται τόσο στο επικείμενο Βρετανικό  GDPR όσο και στις αποφάσεις που πρόκειται να υιοθετηθούν σύντομα. Ένα από τα πιο περίπλοκα ζητήματα, ωστόσο, είναι η μεταφορά δεδομένων προσωπικού χαρακτήρα από την ΕΕ προς το Ηνωμένο Βασίλειο, η οποία είναι έμμεση – παραδείγματος χάριν, εκείνες που αφορούν τρίτο μέρος, όπως έναν πάροχο cloud. Γενικά, κατά την ημέρα του Brexit, οι επιχειρήσεις πρέπει να σταματήσουν αυτές τις μεταφορές, εκτός εάν υπάρχουν ορισμένες διασφαλίσεις ή εξαιρέσεις. Για παράδειγμα, η μεταφορά μπορεί να βασίζεται στη διασφάλιση των τυποποιημένων συμβατικών ρητρών της Ευρωπαϊκής Επιτροπής ή να υπόκειται σε απαλλαγή όταν η μεταφορά αυτή είναι αναγκαία για την εκτέλεση μιας σύμβασης. Οι δεσμευτικοί εταιρικοί κανόνες αποτελούν επίσης μια επιλογή. Ωστόσο, οι επιχειρήσεις ενδέχεται επίσης να αποφασίσουν ότι η αποθήκευση ή η επεξεργασία προσωπικών δεδομένων της ΕΕ στο Ηνωμένο Βασίλειο δεν αποτελεί βιώσιμη στρατηγική, ιδιαίτερα στην περίπτωση που λείπει μια απόφαση της ΕΕ που αναγνωρίζει το Ηνωμένο Βασίλειο ως “επαρκές” για την προστασία των δεδομένων. Αυτές οι επιχειρήσεις ενδέχεται να αποφασίσουν να επενδύσουν στη δημιουργία κέντρων δεδομένων με βάση την ΕΕ ή να συνεργαστούν με παρόχους που το προσφέρουν ως επιλογή. Θα μπορούσαν επίσης να λάβουν υπόψη τα τεχνικά μέτρα για την εξασφάλιση αυτών των μεταφορών: Η ανωνυμοποίηση των δεδομένων προτού αποσταλούν στο Ηνωμένο Βασίλειο μπορεί να είναι ένας τρόπος για να γίνει αυτό.
3. Τι πρέπει να κάνουν οι επιχειρήσεις σήμερα; Το καλύτερο που πρέπει να κάνουμε σήμερα είναι να διασφαλίσουμε ότι οι επιχειρήσεις συμμορφώνονται με τους υφιστάμενους κανόνες προστασίας δεδομένων – συγκεκριμένα το GDPR και το νόμο περί προστασίας δεδομένων του Ηνωμένου Βασιλείου το 2018. Ενώ το κανονιστικό περιβάλλον θα είναι αναμφίβολα πιο πολύπλοκο, θα παραμείνει σε μεγάλο βαθμό συνεπές με το υφιστάμενο. Ωστόσο, τα δεδομένα μας δείχνουν ότι μόνο οι μισοί από τους οργανισμούς του Ηνωμένου Βασιλείου συμμορφώνονται με το GDPR. Ως εκ τούτου, θα πρέπει οι επιχειρήσεις να επιταχύνουν την εκτέλεση των στρατηγικών συμμόρφωσης τους. Με βάση το Brexit, οι επιχειρήσεις πρέπει να κατανοήσουν τις διεθνείς ροές δεδομένων προσωπικού χαρακτήρα. Οι βασικές μεταφορές για τον εντοπισμό θα προέρχονται από την ΕΕ στο Ηνωμένο Βασίλειο. Πρέπει να δώσουν προτεραιότητα στην αποκατάσταση των μεταφορών που περιλαμβάνουν μεγάλους όγκους δεδομένων, μεταφορές δεδομένων ειδικής κατηγορίας ή ποινικές καταδίκες και στοιχεία αξιόποινων πράξεων και κρίσιμες μεταβιβάσεις επιχειρήσεων. Η επένδυση στα κατάλληλα μέτρα για τη διασφάλιση της νομιμότητας αυτών των μεταφορών είναι απαραίτητη. Θα πρέπει επίσης να εξετάσουν τις υφιστάμενες πολιτικές απορρήτου, τις εκτιμήσεις επιπτώσεων για την προστασία των δεδομένων, τα δικαιώματα των υποκειμένων των δεδομένων και τα μέτρα για να αποδείξουν την υπευθυνότητα ως τομείς που θα απαιτήσουν περαιτέρω προσαρμογές.