Выход Британии из ЕС состоится буквально через месяц и многие компании сейчас задаются вопросом: если 29 марта 2019 года состоится Brexit без сделки, как это повлияет на передачу данных между Великобританией и ЕС? Мы попытаемся разобраться с какими трудностями можно столкнуться и как их решить.
Консультативный документ от Европейского совета по защите данных
12 февраля 2019 года Европейский совет по защите данных (EDPB) опубликовал информационный документ, разъясняющий меры, которые следует принять для обеспечения обмена личными данными с Великобританией в случае Brexit без сделки. Он вышел после того, как правительство Великобритании сообщило о своем намерении разрешить передачу персональных данных между Великобританией и Европейской экономической зоной (ЕЭЗ). Если Великобритания покинет ЕС 29 марта 2019 года без заключения сделки, она подпадает под определение “третьей” страны, как это прописано в Общем регламенте о защите данных (GDPR). Кроме того, до даты выхода Европейская комиссия вряд ли выпустит решение о том, что уровень защиты персональных данных в Великобритании является надлежащим по отношению к GDPR.
Рекомендуемые меры
Компании могут предпринять следующие шаги, чтобы подготовиться к Брексит без сделки:
- Определить, какие действия по обработке включают передачу персональных данных между ЕЭЗ и Великобританией (то есть информацию, которой обмениваются сервисные центры, поставщики облачных технологий или поставщик услуг в Великобритании).
- Подготовиться к созданию соответствующего механизма передачи данных на 30 марта 2019 года.
- Обновить внутреннюю документацию GDPR, чтобы отразить тот факт, что Великобритания в настоящее время является третьей страной для передачи данных.
- Обновить сведения о конфиденциальности, чтобы отразить, что персональные данные будут переданы в третью страну (Великобританию) и любые меры безопасности, которые были введены в действие.
Какие меры следует предпринять
Регламент GDPR допускает несколько механизмов передачи данных. Реализация утвержденных европейских положений представляется наиболее целесообразным решением для предприятий. Для компаний же, которые используют утвержденные корпоративные правила для внутригрупповой передачи (corporate rules for intra-group transfers (BCRs)) или подали заявки на работу с ICO, необходимо функционировать в соответствии с новым регуляторным органом. В свои положения компании могут включить Ст. 49 Общего регламента о защите данных. Он допускает передачу персональных данных в третьи страны без принятия соответствующего разрешения, например, когда передача данных необходима для выполнения контракта с субъектом данных. Юристы IncFine следят за последними событиями относительно дня выхода Великобритании из ЕС и своевременно подскажут, какие меры следует предпринять для Вашего бизнеса.