GDPR lepinguta Brexiti valguses
GDPR-i hakati kohaldama eelmise aasta 25. maist. Brexiti saaga on oluliselt vanem, aga olenemata eelnevast, on tulevik segane rahvusvahelistele ning piiriülest koostööd tegevatele ettevõttele.
Kas GDPR-i seisukohast on palju muudatusi ees?
Ühest küljest tuleb nentida, et Suurbritannia on olnud GDPR-i väljatöötamise ja jõustumise ajal EL-i liige ning London on võtnud osa Euroopa andmekaitse reeglite väljatöötamisest. Sellest tulenevalt on Suurbritannia oma siseriiklikke õigusakte EL-i andmekaitse perspektiivist vaadatuna harmoniseerinud.
EL-i ja Suurbritannia andmekaitse regulatsioonide sarnasus ei ole aga kõikide probleemide lahenduseks. Kõik riigid, kes on väljaspool EL-i, on käsitletud liimesriikide seisukohalt „kolmandate riikidena“, mis tähendab, et andmete edastamisel Suurbritanniasse ilma lepinguta Brexiti korral, tuleb kohaldada isikuandmete kaitse üldmääruse (GDPR) artikleid 44 ja 45.
Nii Euroopa Andmekaitsenõukogu kui ka Suurbritannia vastav ametiasutus on välja töötanud juhendid organisatsioonidele olukorraks, kus Brexit peaks toimuma ilma leppeta, aga andmeid on vaja siiski edastada ühele või teisele poole. Ühe lahendusena on võimalik kasutada komisjoni vastu võetud standardseid andmekaitseklausleid või alternatiivina muid samasisulisi leppeid.
Viis sammu, mida teha, kui edastad andmeid Suurbritanniale või saad neilt andmeid
Ettevõttel oleks mõistlik juba täna endale selgeks teha, milline andmetöötlus EL-ist pärit andmetega Suurbritannias aset leiab.
Teiseks on vaja määrata ja võtta kasutusele konkreetselt sobiv andmeedastusvahend, arvestades edastatavaid andmeid ja töötlemise iseloomu.
Ära ei tohi unustada oma sisemisi protseduurireegleid ja andmete töötlemise juhendeid. Praktikas on levinud, et ettevõtted ja organisatsioonid sõlmivad omavahel lepinguid ja kokkuleppeid andmete töötlemiseks, aga nõrgim lüli on hoopis maja sees oma töötaja, keda ei ole piisavalt instrueeritud või esinevad tehnilise võimekuse puudused.
Kindlasti tuleb üle vaadata ja vajadusel teha muudatused kõiksugustes privaatsuspoliitikates ja isikuandmete töötlemise teadetes, mis on suunatud ettevõtte klientidele ja avalikkusele. Kui andmete edastamine toimub peale Brexitit Suurbritanniasse, siis tähendab see, et andmeid edastatakse kolmandasse riiki ja see peab olema andmesubjektile teada.
Lepingute sõlmimise ja isikuandmete töötlemise reeglites muudatuste tegemise vajalikkuse kontrollimiseks on ettevõttel vaja läbi viia audit, mis annab selge ülevaate reaalsest andmetöötlusest ja protsesse kirjeldavatest dokumentidest.