Od výsledku referenda v roku 2016 podniky v celej krajine sledujú zvraty rokovaní o Brexite a nervózne čakajú na výsledok. Ako to bude vplývať na osobné údaje spoločností?
Zostanú údaje neobmedzené?
Zdieľanie osobných údajov medzi Spojeným kráľovstvom a ostatnými členskými štátmi EÚ je pre podnikanie životne dôležité – najmä pre účtovníkov, finančné služby a iné spoločnosti, ktoré potrebujú na fungovanie množstvo údajov.
Tu však nastáva hlavný problém. V súčasnosti môžu údaje voľne prúdiť (pokiaľ spoločnosti samozrejme dodržiavajú prísne predpisy), pretože Spojené kráľovstvo je stále súčasťou EÚ. Čo sa však stane, keď odíde?
Ak bude navrhovaná dohoda o odchode z EÚ schválená, údaje budú naďalej prúdiť do roku 2020, kým sa vypracuje dlhodobejšie riešenie. A keďže sa GDPR začleňuje do práva Spojeného kráľovstva, po Brexite by nemalo dôjsť k žiadnym skutočným zmenám.
V tomto prípade by sa Spojené kráľovstvo považovalo za externú krajinu, čo znamená, že by spoločnosti potrebovali to, čo sa nazýva rozhodnutie o primeranosti, aby sa dokázalo, že normy ochrany údajov sú úplne nulové. Európska komisia už dala jasne najavo, že k tomu nedôjde v zhone, čím sa obmedzený tok údajov stane reálnou možnosťou.
Akým tokom putujú osobné údaje?
Podniky v Spojenom kráľovstve, ktoré už spĺňajú požiadavky GDPR a nemajú v EHP (EÚ + Island, Nórsko a Lichtenštajnsko) žiadne kontakty ani zákazníkov, nemusia už veľa robiť, aby po Brexite dodržali súlad. Je pravdepodobné, že sotva pocítia účinky. Ak však dostávajú údaje alebo pracujú v EHP, budú musieť okamžite konať.
Hlavnou otázkou, na ktorú sa podniky pýtajú okolo toku osobných údajov je to, akým smerom smerujú ich údaje. Zasielanie údajov do EHP pravdepodobne nebude problémom, pretože vláda Spojeného kráľovstva sa rozhodla, že je s európskymi normami spokojná. Ovplyvní to však prenos osobných údajov z EHP do Spojeného kráľovstva.
Čo treba urobiť?
Ak podnik z Veľkej Británie prijíma údaje od kontaktov v EHP, bude musieť prijať kroky s odosielateľom, aby sa uistili, že údaje budú naďalej voľne prúdiť. Vo väčšine prípadov sa to dá najlepšie dosiahnuť zavedením štandardných zmluvných, ustanovení medzi podnikom a odosielateľom za podmienok schválených EÚ.
Momentálne existujú desiatky malých a stredných podnikov, ktoré túto situáciu riešia, ale nie je to až ak zlé, ako to znie. SCC sú v podstate iba zmluvy a tento praktický interaktívny nástroj od Kancelárie informačného komisára ukazuje, ako ho môžete vyrobiť.
Ak podnik poskytuje služby zákazníkom v EHP, situácia sa trochu skomplikuje. Pri všetkých činnostiach vo Veľkej Británii sa bude musieť dodržiavať režim ochrany údajov, na európske operácie sa bude vzťahovať právo EÚ – dokonca aj po Brexite.
Ako môže Pro Drive pomôcť?
Aj keď sa pochybuje o tom, že regulačné orgány trestajú malé a stredné podniky, ktoré nedokážu okamžite získať správne zmluvy, netreba sa nechať zmiasť tým, že by sa mohli problém ignorovať. Ak podniky nebudú konať, stratia prístup k osobným údajom, ktoré potrebujú na prevádzku.
Takže, bez ohľadu na to, aké sú obchodné podmienky, je dobré skontrolovať informácie o ochrane osobných údajov spolu s dokumentáciou a zistiť, aké zmeny je potrebné vykonať po Brexite.
Spoločnosti sa môžu stretnúť aj s problémami, ak používajú na ukladanie údajov viac platforiem. Vykonávanie úplných auditov je preto dôležité, aby sa zistilo, kde sú údaje spoločností, a zmapovali sa toky údajov.
V rámci certifikácie IASME proti vládnemu systému Cyber Essentials môže Pro Drive zostaviť dátovú mapu, ktorá ukazuje, kde sú všetky dáta tej ktorej spoločnosti a kam smerujú.
Veríme, že Brexit ešte zamieša karty, a to nielen pri GDPR. Nenechajte si ujsť aj ďalšie novinky zo sveta či z domova týkajúce sa problematiky osobných údajov.