Брексит без сделки: нормативно-правовая база в области конфиденциальности станет более сложной, чем когда-либо

День Брексита быстро приближается, но нет уверенности в том, будет ли выход Великобритании из ЕС сопровождаться соглашением о выходе или нет. Защита данных — лишь одна из многих областей, на которые повлияет Брексит. А при сценарии «без соглашения» последствия выхода Великобритании из ЕС станут еще более драматичными.

Клиенты задают несколько вопросов о применимом режиме защиты данных после дня Брексита, и конкретные ответы зависят от от размера фирм, местоположения их филиалов и офисов, объема международной передачи данных и местонахождения их клиентов. располагается.

Продолжайте читать, если хотите узнать больше о трех наиболее частых вопросах, которые ваши коллеги задают о Брексите.

1. Если Великобритания выйдет из ЕС без соглашения, смогут ли британские компании перестать беспокоиться о GDPR? Технически, когда Великобритания выйдет из ЕС, Общий регламент ЕС по защите данных (GDPR) больше не будет действовать в Великобритании. Однако независимо от того, будет это соглашение или нет, правительство Великобритании уже планирует принять «GDPR». Как следует из названия, это набор правил будет тесно связан с действующим GDPR ЕС и будет сопровождать существующий Закон Великобритании о защите данных. 2018. Сочетание этих двух законопроектов потенциально может иметь более строгие последствия для общего режима защиты данных, чем то, что сегодня испытывают фирмы в Великобритании. Кроме того, компании, базирующиеся в Великобритании и имеющие клиентов в ЕС или контролирующие их поведение, также должны будут соблюдать GDPR ЕС. Есть также области, где новых правил может не быть, но британским фирмам все равно придется вносить коррективы, что приведет к дополнительным мерам по обеспечению соблюдения. Это, например, меры, связанные с международной передачей данных, подотчетностью, новыми требованиями нормативного надзора, учреждением представителя ЕС и т. д. Короче говоря, GDPR перестанет применяться к Великобритании, но мы наблюдаем нормативную среду, которая вот-вот станет значительно более сложной для британского бизнеса.
2. Если Великобритания покинет ЕС, Великобритания станет «третьей стороной» в том, что касается защиты данных. Что это значит? Да, в тот день, когда Великобритания выйдет из ЕС, Великобритания станет третьей стороной по защите данных и набором ограничения будут применяться к международной передаче данных, которая включает в себя поток персональных данных из и в Великобритания. Эта тема, по сути, является одной из наиболее затронутых Брекзитом. Фирмы должны рассмотреть ряд возможных сценариев в зависимости от направления и условий их потоков данных. Например, передача персональных данных из Великобритании в страны ЕС практически не пострадает. Для передачи данных из Великобритании в страны за пределами ЕС британские компании должны учитывать правила, содержащиеся как в предстоящем GDPR Великобритании, так и в решениях об адекватности, которые вскоре будут приняты. Однако один из самых сложных вопросов касается косвенной передачи персональных данных из ЕС в Великобританию — например, с участием третьей стороны, такой как поставщик облачных услуг. В целом, в день Брексита компании должны прекратить эти переводы, если не будут приняты определенные гарантии или исключения. Например, передача может быть основана на гарантии стандарта Европейской комиссии. договорных положений или подлежит исключению, если такая передача необходима для выполнения договор. Обязательные корпоративные правила также представляют собой вариант. Однако компании также могут решить, что хранение или обработка персональных данных ЕС в Великобритании не является жизнеспособной стратегией. особенно в случае, когда решение ЕС, признающее Великобританию «адекватной» для защиты данных, не хватает. Эти фирмы могут принять решение инвестировать в создание центров обработки данных в ЕС или работать с провайдерами, которые предлагают это в качестве опции. Они также могут рассмотреть технические меры для обеспечения безопасности такой передачи: одним из способов сделать это может быть анонимизация данных перед их отправкой в ​​Великобританию.
3. Что следует делать компаниям сегодня? Лучшее, что можно сделать сегодня, — это обеспечить соблюдение компаниями существующих правил защиты данных, а именно GDPR и Закона Великобритании о защите данных 2018 года. Хотя нормативно-правовая база, несомненно, станет более сложной, она останется в значительной степени соответствующей существующей. Однако наши данные показывают, что только половина организаций Великобритании соблюдают GDPR. Следовательно, я бы настоятельно рекомендовал фирмам ускорить реализацию своих стратегий соблюдения требований. Учитывая Брексит, компании должны понимать международные потоки персональных данных. Ключевые передачи для идентификации будут осуществляться из ЕС в Великобританию. Им следует уделять первоочередное внимание исправлению ошибок при передаче больших объемов данных, передаче данных особых категорий или данных об уголовных судимостях и правонарушениях, а также передаче критически важных для бизнеса данных. Крайне важно инвестировать в соответствующие меры для обеспечения законности этих передач. Им также следует рассмотреть существующие политики конфиденциальности, оценки воздействия на защиту данных, права субъектов данных и меры по демонстрации подотчетности как области, которые потребуют дальнейших корректировок.

Этот пост был написан старшим аналитиком Энзой Яннополло и первоначально появился здесь.