Krajem 2019. smo više puta skretali pozornost na problem prijenosa osobnih podataka u UK, a s obzirom na najave izlaska UK iz EU. Početkom 2020. UK je izašla iz EU uz razumno prijelazno razdoblje do 31.12.2020. u kojem se očekivalo da će diplomacija riješiti niz otvorenih pitanja o mirnom razlazu za dobrobit obje strane, između ostalog, i u području zaštite osobnih podataka i prijenosa osobnih podataka iz EU u UK.
Činjenica je da dogovora ili napretka u području zaštite osobnih podataka na relaciji UK-EU nema.
UK u potpunosti izlazi iz bilo kakvih poveznica s EU za dva tjedna.
Istovremeno je GDPR uklesan u kamen i članci 44.-49. GDPR-a utvrđuju strogo dozvoljene okvire prijenosa osobnih podataka iz EU u UK.
Od 31.12.2020. će prijenos osobnih podataka u UK biti reguliran kako je to danas s prijenosom podataka u BiH, Srbiju, Crnu Goru, Kosovo, Makedoniju i niz tzv. trećih zemalja.
Središnje EU tijelo za zaštitu podataka EDPB (European Data Protection Board) objavilo je svoje kratko stajalište na ovu temu:
https://edpb.europa.eu/our-work-tools/our-documents/other/statement-end-brexit-transition-period_en
Izdvajamo iz tog stajališta:
- od 01.01.2021. UK više neće biti u režimu GDPR-a, već će GDPR na određen način biti implementiran u UK zakonski okvir kroz nacionalne propise
- od 01.01.2021. UK postaje "treća zemlja" što se tiče prijenosa osobnih podataka iz EU
- sasvim je izgledno da UK neće potpasti u mali skupinu zemalja iz članka 45. GDPR-a u koje je dozvoljen prijenos osobnih podataka iz EU bez prepreka temeljem odluke Europske komisije o primjerenoj zaštiti osobnih podataka, kao što su danas Andora, Argentina, Kanada (komercijalne organizacije), Faroe Islands, Guernsey, Izrael, Isle of Man, Japan, Jersey, New Zealand, Švicarska Urugvaj.
- stoga će prijenosi osobnih podataka iz EU u UK biti u režimu članaka 46.-49. GDPR-a, odnosno, izloženi dodatnim komplikacijama
- također, poslovni subjekti locirani u UK i koji vrše obrade osobnih podataka osoba u EU, odnosno, nude usluge u EU ili prate pojedince u EU, ako vrše redovite i ponavljajuće obrade (npr. zaposlenici ili aplikacije) ili obrađuju posebne kategorije osobnih podataka (zdravlje, religija, politička opredijeljenost, sindikati, biometrija, genetika, seksualni život..) ili podatke o kaznenim dijelima, prema kriterijima iz članka 27. GDPR-a moraju predstaviti svog EU predstavnika u zemlji članici EU u kojoj se nalazi većina osoba čiji se osobni podaci obrađuju
Za sve poslovne subjekte želimo ovim putem poslati upozorenje da s posebnim oprezom analiziraju ovu situaciju ako koriste UK Cloud servise, imaju otvorene tvrtke u UK, koriste Data centre u UK ili koriste aplikacije i software za npr. vođenje radnog vremena od strane UK tvrtke.
Ovo nije više šala...