Općenito
Opća uredba o zaštiti podataka (GDPR) je uredba u pravu EU-a koja je implementirana 25. svibnja 2018. i usredotočena je na zaštitu podataka i povjerljivost u Europskoj uniji i Europskom gospodarskom prostoru; uz to, GDPR se također koristi za rješavanje prijenosa osobnih podataka izvan područja EU i EGP. Komisija EU-a objavila je 28. lipnja 2021. da su donesene presude o primjerenosti za UK no to ne znači da je u potpunosti riješen problem usklađenosti vezan uz primjenu propisa o zaštiti privatnosti.
Komisija EU-a bi mogla prekinuti, suspendirati ili izmijeniti svoju Odluku o primjerenosti kojom se dopuštaju besplatni prijenosi osobnih podataka iz EGP-a u UK, ako bude smatrala da UK više ne osigurava " adekvatnu razinu zaštite" za potrebe izvršenje svih zahtjeva iz GDPR-a , ili dopustiti da ova odluka istekne u lipnju 2025. bez obnove.
Tzv. Opća uredba o zaštiti podataka Ujedinjenog Kraljevstva (UK-GDPR) nacionalni je propis o privatnosti podataka Ujedinjenog Kraljevstva koji je zamjena za GDPR EU-a nakon Brexita; u osnovi je ekvivalent GDPR -u EU-a , ali je izmijenjen kako bi se prilagodio nacionalnim propisima. UK-GDPR isto regulira osobne podatke i zahtijeva postojanje pravnih osnova za upravljanje odnosno obradu osobnim/osobnih podacima/ podataka.
'UK GDPR' je po pitanju prava i odgovornosti/ obveza onih koji obrađuju osobne podatke ostao onakav kakav je bio prije Brexita, ali postoje razlike koje se odnose, između ostaloga na prijenos individualnih podataka između Ujedinjenog Kraljevstva i EGP-a.
GDPR za Ujedinjeno Kraljevstvo također se odnosi na voditelje i izvršitelje obrade osnovane izvan Ujedinjenog Kraljevstva ako su njihovi poslovi upravljanja povezani sa :
- predstavljanjem robe ili usluga osobama u Ujedinjenom Kraljevstvu; ili
- obradama podataka pojedinaca koje se odvijaju u Ujedinjenom Kraljevstvu.
Koja se najvažnija pravila primjenjuju i koje su bitne razlike navodimo u nastavku:
- Dokle god su Odluke o primjerenosti na snazi, očekuje se da će tako ostati do 27. lipnja 2025. Komisija EU -a stalno nadzire napredak u UK -u kako bi zajamčila da će UK nastaviti pružiti usporediv stupanj zaštite podataka kao što je to navedeno u Odluci o primjerenosti i kako je propisano u EU.
- Neovisno o nadzornim tijelima u UK organizacije i ispitanici na koje se primjenjuje i GDPR EU, ili neovisno EU-u tijelo ili neko od nadzornih tijela za zaštitu podataka u EU-u mogu pokrenuti pravni postupak u vezi s odlukama UK tijela u kojima bi Sud pravde Europske unije tada morao utvrditi je li Ujedinjeno Kraljevstvo pružalo usporedivu sigurnost i prava na način kako je to omogućeno u EU.
- UK-GDPR proširuje i mijenja europski GDPR. Područja na koja je UK-GDPR dodatno obratio pozornost te navedeno propisao su:
- Nacionalna sigurnost
- Obavještajne službe
- Prijenosi podataka
Navedena područja su izvan opsega primjene europskog GDPR-a (npr. kada se radi o pitanjima koja su određena kao ona od nacionalne sigurnosti; ili kada se radi o prikupljanju i obradi osobnih podataka za obavještajne službe).
- Povjerenik za informiranje, vodeće tijelo za zaštitu podataka u Ujedinjenom Kraljevstvu , postao je primarni nadzornik i provoditelj UK-GDPR-a.
- UK-GDR zahtijeva da stranica ili aplikacija pojedine organizacije zatraži odobrenje korisnika prije prikupljanja i upravljanja podacima putem kolačića. To uključuje da vaša organizacija ne skuplja više podataka nego što je doista obvezno i da također svojim korisnicima učinite jednostavnim povlačenje pristanka/ odobrenja za primjenu podataka.
- Transparentnost je ključna u UK-GDPR-u i zahtijeva detaljno i precizno pojašnjenje koliko dugo se podaci pohranjuju i kako ćete obrađivati osobne podatke korisnika.
- Vlada UK predstavila je nacrt tzv. zakona o zaštiti podataka i digitalnim informacijama (br. 2) 8. ožujka 2023., stavljajući izvan snage dosadašnji propis o zaštiti podataka i digitalnim informacijama od lipnja 2022. godine.
- Nakon Brexita, namjera je UK prijedloga ( Data Protection & Digital Information (No.2) Bill (the Bill)- 8/3/2023) učiniti Opću uredbu EU-a o zaštiti podataka ( GDPR ) praktičnijom i manje opterećujućom u situacijama nižeg rizika, uz zadržavanje visokih standarda zaštite podataka. UK GDPR Sadrži mnoga pojašnjenja i donosi nekoliko dodatnih uvodnih izjava.
- Multinacionalne tvrtke koje posluju i u Ujedinjenom Kraljevstvu i u EU/EEA-u morat će se uskladiti i s UK GDPR-om.
- Na konferenciji održanoj 8. ožujka 2023., predstavnici vlade Ujedinjenog Kraljevstva i regulatora za zaštitu podataka, Ureda povjerenika za informacije ( ICO ), naznačili su da će se, općenito, usklađenost s GDPR-om moći u većini slučajeva smatrati dostatnom (prema propisima UK -a o privatnosti i zaštiti podataka). Međutim, onima koji posluju samo u UK-u i koji se ne planiraju proširiti na EU/EEA možda će biti lakše uskladiti se samo s propisima UK- a prema propisima u UK, osobito s obzirom na manje zahtjeve koje novi propis UK -a uvodi u odnosu na određena pitanja. Multinacionalne tvrtke također mogu odlučiti učiniti isto u odnosu na svoje aktivnosti obrade podataka.
- Definicija "Osobni podaci" –dolazi do dopune odnosno promjene jer će se moći tumačiti smatraju li se neki podaci osobnima ukoliko su dovoljno zaštićeni odgovarajućim mjerama.
- Legitimni interes –izričitim navođenje da obrada nužna za legitimne interese može uključivati obradu nužnu za izravni marketing (definiran i kao komunikacija (bilo kojim sredstvom) reklamnog ili marketinškog materijala koji je usmjeren na određene pojedince); unutar grupni prijenos potreban za internu čak i među povezanim društvima) administraciju ili obrade potrebne za sigurnost mreže i informacijskih sustava. Uvodi se nova pravna osnova za "priznate ( taksativno navedene) legitimne interese" u domeni u kojima isti pokrivaju i javne interese (kao što je zaštita ranjivih pojedinaca), gdje neće biti potreban test ravnoteže u odnosu na prava pojedinaca. Taksativni popis se može ažurirati propisima, vodeći računa o interesima pojedinaca.
- Prijenosi osobnih podataka (tj. izvoz podataka) – uvodi se pristup koji se temelji na procjeni rizika pa čak i kada govorimo o prijenosima i odlukama o primjerenosti koje donosi Ujedinjeno Kraljevstvo, koji će se sada nazvati "odobrenim" prijenosima, prema "testu zaštite podataka" pri čemu standard zaštite u zemlji primateljici u svakom slučaju "nije (ne smije biti) materijalno niži“. Dodano neće se ograničavati odnosno zabranjivati prijenosi važeći prema "starim" zakonima.
- Zahtjevi za pristup ispitanika – voditelji obrade mogu odbiti zahtjev ili naplatiti razumne naknade ako je zahtjev "neutemeljen, zlonamjeran ili pretjeran" (usp. GDPR "očigledno neutemeljen ili pretjeran").
- Ograničenje svrhe – pojašnjava se daljnja obrade podataka u kompatibilne svrhe, uključujući određivanje kompatibilnih svrha (npr. znanstveno istraživanje) i navođenje određenih vrsta obrade (uglavnom određenih važnih javnih interesa) koje se smatraju kompatibilnima.
- Istraživanja – npr. da istraživanje može biti "znanstveno" koliko god se financiralo i (dodano) provodi li se kao komercijalna ili nekomercijalna aktivnost, sve dok se može "razumno opisati kao znanstveno". "Znanstveno" kao pojam još nije jasno definirano.
- Automatizirano donošenje odluka (ADM)– UK GDPR donosi dodatna pojašnjenja u vezi s odredbama primjerice: zabrana ADM-a (dodano: bez "smislenog ljudskog angažmana") osim pod određenim uvjetima, uključujući zaštitne mjere koje ispitanicima omogućuju ljudsku intervenciju i osporavanje donošenja odluke. Pojašnjeno je dodatno da samo profiliranje nije ADM, ali se mora uzeti u obzir opseg do kojeg je odluka donesena profiliranjem te pri tome precizno odrediti je li postojala značajna ljudska uključenost.
- Službenici za zaštitu podataka (DPO) – mora biti imenovan za "visokorizičnu" obradu. Nema postavljenih kriterija za ono što je visokorizično (usp. GDPR), ali dodano je da ICO mora objaviti primjere vrsta obrade za koje smatra da su vjerojatno visokorizične.
- Procjena utjecaja na zaštitu podataka (DPIA) – potrebna samo za možebitno visokorizičnu obradu. Opet, ne postoje postavljeni kriteriji za ono što je ovdje visokorizično (usp. GDPR), ali (dodano novim propisom) da ICO mora objaviti primjere vrsta obrade za koje smatra da su vjerojatno visokorizične.
- Evidencije aktivnosti obrade (ROPA) – (promijenjeno novim propisom) potrebne samo za možebitno visokorizičnu obradu, bez obzira na veličinu organizacije (usp. izuzeće GDPR-a, uz iznimke, za male organizacije). Opet, (dodano) da ICO mora objaviti primjere vrsta obrade za koje smatra da su možebitno visokorizične u tu svrhu.
- ICO – u novi propis su unijete promjene koje se odnose na strukturu, ovlasti (npr. odrediti strateške prioritete koje ICO općenito mora uzeti u obzir kod svoga djelovanja; zahtijevati dokumente, izvješća (npr. tehnička izvješća).
Mnoge od prethodno navedenih izmjena i dopuna UK GDPR-a imaju za cilj razjasniti nejasnoće u EU GDPR- u ili pojednostaviti usklađenost u situacijama nižeg rizika.
Imenovanje EU GDPR predstavnika
Prema EU GDPR-u, voditelji obrade podataka i izvršitelji obrade izvan Europske unije koji nude robu ili usluge ispitanicima u Europskoj uniji ili nadziru njihovo ponašanje moraju imenovati predstavnika EU-a.
Predstavnik EU-a lokalna je kontaktna točka za organizaciju koju predstavlja, koja komunicira s pojedincima (ispitanicima) i nadzornim tijelima za zaštitu podataka u svakoj od država članica, sve u ime organizacije, a u vezi s pitanjima zaštite podataka.
Imenovanje predstavnika UK GDPR
Prema UK GDPR voditelji obrade i izvršitelji obrade izvan Ujedinjenog Kraljevstva koji nude robu ili usluge ili nadziru ponašanje ispitanika u Ujedinjenom Kraljevstvu moraju imenovati predstavnika UK-a. UK predstavnik je lokalna kontaktna točka za organizaciju koju predstavljaju, koja komunicira s pojedincima (ispitanicima) i povjerenikom Ujedinjenog Kraljevstva u (ICO) u ime organizacije u vezi s pitanjima zaštite podataka.
Moram li imenovati predstavnike EU-a i UK-a?
Međunarodne tvrtke izvan EU-a i UK-a koje nude robu ili usluge ili prate ponašanje ispitanika u UK i EU moraju imenovati predstavnika EU-a i predstavnika UK-a.