Naime, u slučaju tzv. hard Brexita, odnosno, nepostizanja dogovora o izlasku UK iz EU, uključujući i reguliranje odnosa u području zaštite podataka, UK postaje tzv. treća zemlja čime nastaju nove obveze za poslovne subjekte iz UK.
Ako poslovni subjekt iz UK obrađuje osobne podatke pojedinaca u EU čije su aktivnosti obrade povezane s ponudom robe ili usluga ili za praćenje njihova ponašanja dok se ono odvija unutar EU, poslovni subjekt iz UK bi trebao imenovati svog predstavnika u EU (tvrtku, konzultanta...).
Izuzeća od te obveze postoje ako se obrada obavlja povremeno, ne uključuje opsežnu obradu posebnih kategorija osobnih podataka ili je obrada osobnih podataka povezana s kaznenim presudama i kažnjivim djelima te vjerojatno neće dovesti do rizika za prava i slobode pojedinaca.
Predstavnik UK tvrtke u EU bi trebao djelovati u ime UK poslovnog subjekta i može mu se obratiti svako nadzorno tijelo. UK poslovni subjekt trebao bi izričito, pisanim ovlaštenjem imenovati predstavnika da djeluje u njegovo ime.
A najzanimljiviji dio je vezan za odgovornost i eventualne kazne - u slučaju da poslovni subjekt iz UK krši pravila, imenovani bi predstavnik u EU trebao, kako GDPR kaže, citiramo: "podlijegati postupku izvršavanja zakonodavstva" što znači da je izložen i odgovoran.