Tvrdý BREXIT a ochrana osobních údajů

V současné době platí pro celé území EU přímo aplikovatelný předpis – obecné nařízení o ochraně osobních údajů 2016/679 („GDPR“). A Karin Pomaizlová, partnerka Taylor Wessing Česká republika, potvrzuje, že: “v případě tvrdého Brexitu GDPR přestane na území Spojeného království platit. Nicméně, na základě rozšířené územní působnosti GDPR se tento právní předpis nadále bude vztahovat na britské podniky, které zpracovávají osobní údaje osob z členských států EU, stejně tak, jako je tomu např. u poskytovatelů služeb informační společnosti se sídlem ve Spojených státech amerických.  Podle článku 3 GDPR totiž platí, že GDPR se vztahuje na zpracování osobních údajů osob, které se nacházejí v EU, správcem nebo zpracovatelem, který není usazen v EU, pokud nabízí těmto osobám zboží nebo služby, bez ohledu na to, zda za úplatu či nikoliv, anebo pokud monitoruje chování těchto osob na území EU. Rovněž se nadále bude GDPR vztahovat na zpracování osobních údajů v souvislosti s provozovnami správce nebo zpracovatele na území EU. Nejčastěji půjde o případy, kdy britské společnosti mají na území EU organizační složku nebo odštěpný závod a zpracovávají osobní údaje svých zaměstnanců, zákazníků a dodavatelů na území EU. Nepůjde o zásadní problém, protože britské podniky již od května 2018 zavedly postupy v souladu s požadavky GDPR.”

Pro případ, kdy podniky usazené na území EU budou předávat osobní údaje po tvrdém Brexitu organizacím ve Spojeném království, uplatní se na toto předávání pravidla GDPR pro předávání osobních údajů do třetích zemí. Martin Loučka, koncipient advokátní kanceláře Taylor Wessing Česká republika doplňuje: “Článek 45 GDPR stanoví, že předávání osobních údajů do určité třetí země bez zvláštního povolení je možné, pokud Evropská komise rozhodla, že tato třetí země zajišťuje odpovídající úroveň ochrany osobních údajů. I když v případě Spojeného království půjde o formalitu, dokud Evropská komise nerozhodne, že Spojené království poskytuje odpovídající úroveň ochrany, bude možné předávat osobní údaje subjektům usazeným ve Spojeném království pouze při zajištění vhodných záruk, zejména podle standardních smluvních doložek schválených Evropskou komisí, v takovém případě není třeba zvláštní povolení dozorového úřadu, nebo na základě závazných podnikových pravidel schválených příslušným dozorovým úřadem členského státu EU.”

A Pomaizlová doplňuje: “V případě tvrdého Brexitu bude změnou dále postiženo zpracování osobních údajů osob na území Spojeného království správci nebo zpracovateli usazených v EU, tedy opačné předávání osobních údajů z Británie do členských států EU. Toto předávání se bude řídit britskými právními předpisy. Obdobně jako GDPR se britský předpis o zpracování osobních údajů bude vztahovat na veškerá zpracování osobních údajů osob na území Spojeného království, i když jej budou provádět správci nebo zpracovatelé usazení mimo Spojené království. Toto by reálně mohlo mít dopad na české správce a zpracovatele, např. poskytovatele služeb informační společnosti, pokud jsou mezi jejich zákazníky i jednotlivci ze Spojeného království. Ačkoliv Británie připravila nový národní předpis o zpracování osobních údajů v intencích GDPR, bude nutno, aby se správci a zpracovatelé, na které se tato povinnost bude vztahovat, s předpisy a jejich výkladem ze strany britského dozorového úřadu detailně seznámili.”

V návaznosti na předávání osobních údajů mezi subjekty v EU a ve Spojeném království bude v případě tvrdého Brexitu třeba provést revizi již uzavřených smluv o zpracování osobních údajů nebo mezi společnými správci osobních údajů.

A Pomaizlová dále uvádí: “Ohledně předávání osobních údajů britských osob do členských států EU sice britská vláda deklarovala, že i pro případ tvrdého Brexitu bude považovat členské státy EU za země s odpovídající ochranou osobních údajů, v současné nejasné a nejisté situaci je dobré se připravit na to, že do doby než britský úřad formálně rozhodne o tom, že členské státy EU poskytují odpovídající ochranu, bude možno předávat osobní údaje z Británie do EU (např. zpracovatelům zde usazeným) pouze na základě smluvních doložek nebo závazných podnikových pravidel schválených britským úřadem podle britského práva.”

Obdobně, jak požaduje čl. 27 GDPR, budou muset správci a zpracovatelé usazení na území EU, kteří zpracovávají osobní údaje osob na území Spojeného království za účelem nabízení zboží nebo služeb, bez ohledu na to, zda za úplatu či nikoliv, anebo kteří monitorují chování těchto osob, ustanovit na území Spojeného království svého zástupce. Dále v případě schválených závazných podnikových pravidel bude nutno tyto znovu schválit příslušným britským úřadem (viz https://ico.org.uk/).

Loučka dodává: “V důsledku Brexitu bude také muset dojít ke změně vedoucího dozorového úřadu, pokud jim dosud byl britský úřad. Stejně tak pokud pověřenec pro ochranu osobních údajů usazený na území Británie vykonával tuto roli i pro další firmy v rámci koncernu nebo pobočky na území EU, bude nutné ustanovit nového pověřence, usazeného na území členského státu EU. Pro správce a zpracovatele, kteří mají povinnost jmenovat pověřence podle GDPR vznikne nová povinnost ustanovit zvlášť pověřence podle britských právních předpisů.”

Pro případ schválení dohody o výstupu z EU by GDPR nadále v Británii platilo do 31. prosince 2020, do té doby by předávání osobních údajů mezi EU a Spojeným královstvím fungovalo jako dosud.

Zdroj: Taylor Wessing