Dla firm
Podpis elektroniczny Portale klienta Practice Manager Onboarding klientów Oferty i propozycje Weryfikacja tożsamości (KYC/AML)
Dla osób prywatnych
E‑Sign i przechowywanie
Według funkcji
Sprzedaż Operacje Zgodność Zasoby ludzkie
Sprzedaż usług profesjonalnych Automatyzacja onboardingu klienta Bezpapierowe zarządzanie dokumentami w chmurze Deal rooms dla fuzji i przejęć Zarządzanie praktyką Onboarding pracowników beta
Przegląd aplikacji Wsparcie techniczne Co nowego Baza wiedzy
Integracje
Integracje Office365 Zoho CRM Xero
Blog Cennik
Zaloguj się
🇬🇧UK 🇺🇸US 🇵🇱PL 🇺🇦UA 🇪🇸ES 🇩🇪DE 🇫🇷FR 🇳🇱NL 🇵🇹PT 🇮🇹IT
Rozpocznij bezpłatny okres próbny

Ochrona danych po Brexicie – co dalej?

MyDocSafe Team

Ochrona danych po Brexicie to złożony i rozwijający się temat, który nie jest dobrą wiadomością dla brytyjskich firm. MŚP prawdopodobnie najbardziej ucierpią, podobnie jak większe firmy.

Głównym problemem jest to, że ochrona danych nie została szczegółowo omówiona w umowie handlowej, mimo że zawiera ona mechanizm „tymczasowego pomostu” dla swobodnego przepływu danych osobowych z UE/EOG do Wielkiej Brytanii. Wiemy, że rząd Wielkiej Brytanii jest obecnie w trakcie opracowywania swojej strategii i zasygnalizował, że dane należy traktować jako szansę, a nie zagrożenie, co jest bliższe podejściu amerykańskiemu niż unijnemu. Z biegiem czasu brytyjski model ochrony danych prawdopodobnie ulegnie zmianie i może różnić się od unijnego. Obecnie obowiązuje kilka systemów:

  • Brytyjskie przepisy RODO: jest to nowa, dostosowana do potrzeb Wielkiej Brytanii wersja RODO, oparta na unijnym rozporządzeniu RODO.
  • Przepisy unijnego rozporządzenia o ochronie danych osobowych (RODO): jest to oryginalne rozporządzenie RODO, które obowiązuje we wszystkich 27 państwach członkowskich Unii Europejskiej, a także w Norwegii, Islandii i Liechtensteinie.
  • Luka w zakresie adekwatności lub stare przepisy RODO – nie będzie to miało zastosowania, jeśli Wielka Brytania otrzyma ostateczną decyzję UE stwierdzającą adekwatność.

    • Komisja Europejska opracowała projekt decyzji, w którym stwierdza, że brytyjskie RODO i ustawa o ochronie danych osobowych z 2018 r. zapewniają poziom ochrony danych osobowych przekazywanych z UE/EOG zasadniczo równoważny poziomowi gwarantowanemu przez unijne RODO. Decyzja wymaga dalszego zatwierdzenia, a kwestie polityczne i ryzyko mogą opóźnić jej ratyfikację.

Wysyłanie danych za granicę:

  • Wiążące zasady korporacyjne (BCR) pozostają złotym standardem
    • Reguły BCR mają na celu umożliwienie międzynarodowym przedsiębiorstwom przekazywania danych osobowych z EOG do spółek z ich grupy, które znajdują się poza EOG (w tym w Wielkiej Brytanii od 31 grudnia 2020 r.)
  • Standardowe klauzule umowne (SCC) to zatwierdzone szablonowe warunki, które zapewniają spełnienie standardów RODO (pod warunkiem przestrzegania warunków zawartych w SCC).

    • ICO planuje opublikować nowe brytyjskie standardowe standardy klauzul umownych w 2021 roku. Opracowało zmienioną wersję istniejących standardowych standardów klauzul umownych UE, aby dostosować je do kontekstu brytyjskiego. W pewnym momencie standardowe standardy klauzul umownych UE mogą stać się nieważne w przypadku transferów z Wielkiej Brytanii.

    • Są one obecnie przedmiotem konsultacji i obowiązuje roczny okres przejściowy po ich zatwierdzeniu. Prawdopodobnie będą one ważne tam, gdzie obowiązuje unijne RODO. Nie wiadomo jeszcze, czy Wielka Brytania je zatwierdzi, ale w przeciwnym razie będą nieważne w przypadku transferów poza Wielką Brytanię na mocy brytyjskiego RODO.

  • Inne wyjątki od reguły (patrz slajdy i nagranie poniżej).

A co z inspektorami ochrony danych (IOD)?

  • Jeśli obecnie masz obowiązek posiadania inspektora ochrony danych (IOD), wymóg ten będzie nadal obowiązywał, niezależnie od tego, czy wynika z brytyjskiego RODO, czy unijnego RODO. Nadal możesz mieć inspektora ochrony danych (IOD), który obejmuje Wielką Brytanię i Europejski Obszar Gospodarczy (EOG). Inspektor ochrony danych może nadal znajdować się w Wielkiej Brytanii.
  • Jednakże zarówno rozporządzenie RODO w Wielkiej Brytanii, jak i rozporządzenie UE wymagają, aby inspektor ochrony danych był łatwo dostępny z każdej placówki w EOG i w Wielkiej Brytanii i aby dysponował specjalistyczną wiedzą na temat obu systemów.

Co powinieneś teraz zrobić?

  • Najważniejszym pierwszym krokiem jest zrozumienie przepływów danych i lokalizacji, w których są one przetwarzane (należy odróżnić przetwarzanie w Wielkiej Brytanii od przetwarzania w UE. Priorytetem są przepływy zawierające duże wolumeny, dane kategorii szczególnych lub dane o wyrokach skazujących i przestępstwach, transfery krytyczne dla firmy oraz te obejmujące kluczowe obszary o podwyższonym ryzyku, takie jak Stany Zjednoczone). MyDocSafe stworzył narzędzie zgodne z RODO do rejestrowania i mapowania takich przepływów danych, które służy zarówno jako platforma audytu, jak i zarządzania prywatnością. Jest ono obecnie dostępne tylko dla nowych klientów korporacyjnych, dlatego prosimy o kontakt w celu uzyskania szczegółowych informacji.
  • Mając wiedzę na temat przepływów danych, będziesz musiał zdecydować, czy podjąć dalsze kroki, takie jak:
    • Korzystanie z porad prawnych w celu aktualizacji zasad BCR, standardowych klauzul umownych, powiadomień o ochronie prywatności i umów o przetwarzaniu danych oraz jak śledzić zmiany w prawie
    • Czy wyznaczyć przedstawicieli UE, Wielkiej Brytanii i NIS?
    • Określ właściwy wiodący organ nadzorczy
    • Upewnij się, że Twój inspektor ochrony danych będzie łatwo dostępny w każdej placówce w Wielkiej Brytanii i EOG oraz że ma on wiedzę na temat wszystkich systemów.

Nasz werdykt

Uważamy, że obecny system prawny nie jest korzystny dla brytyjskich małych i średnich przedsiębiorstw (MŚP), które prawdopodobnie będą miały trudności z dostosowaniem się do przepisów lub po prostu zignorują cały ten problem. Firmy działające w Wielkiej Brytanii prawdopodobnie uważają, że dzięki temu nie powinny się zbytnio martwić, o ile przechowują dane w Wielkiej Brytanii. Jednak większość z nich nawet nie wie, czy tak jest. Po wprowadzeniu RODO entuzjazm do podjęcia działań w tym zakresie był niewielki. Zebraliśmy kilka dowodów anegdotycznych sugerujących, że niewiele osób przeprowadziło mapowanie danych, a bardzo niewielu korzystało z odpowiednich narzędzi programowych. To jeden z powodów, dla których nasze narzędzie GDPR Dashboard, stworzone specjalnie w tym celu i udostępniane wówczas bezpłatnie, nie będzie już dostępne dla nowych klientów MSP.

Tags

Bezpieczne zarządzanie dokumentami
← Wróć do bloga
Używamy plików cookie, aby ulepszyć przeglądanie i analizować ruch na stronie. Klikając "Akceptuj", wyrażasz zgodę na używanie przez nas plików cookie. Polityka prywatności