Yhdistyneen kuningaskunnan lähdettyä EU:sta monet organisaatiot ovat miettineet, millainen vaikutus Brexitillä on GDPR:ään ja mitä toimia olisi toteutettava uusien lakien ja asetusten noudattamiseksi.
Kun yleinen tietosuoja-asetus tuli voimaan 25. toukokuuta 2018, se merkitsi suurinta tietosuojaa koskevien lakien uudistusta 20 vuoteen. Lainsäädännöllä pyrittiin yhtenäistämään tietosuojasääntöjä koko Euroopan unionissa ja tunnustamaan yksilöiden oikeudet henkilötietojensa käyttöön.
Organisaatiot ovat käyttäneet viimeisten kahden vuoden aikana paljon aikaa ja vaivaa tietosuojaprosessien parantamiseen ja uusien toimenpiteiden toteuttamiseen, jotta ne noudattaisivat tätä merkittävää lainsäädäntöä.
Sitoutuminen tietosuojaan ei ole ollut turhaa, sillä monet toteutetuista toimenpiteistä ovat edelleen ajankohtaisia eivätkä ne muuta tapaa, jolla Yhdistyneessä kuningaskunnassa toimivat yritykset käsittelevät rekisteröityjen henkilöiden tietoja tässä maassa.
Nyt kun Yhdistynyt kuningaskunta on virallisesti eronnut EU:sta, organisaatioiden on kuitenkin arvioitava, mitä muutoksia on tehtävä, jotta varmistetaan, että asiaankuuluvaa tietosuojalainsäädäntöä noudatetaan.
Vastaukseksi mahdollisiin kysymyksiisi olemme koonneet lyhyen oppaan, jossa kerrotaan, mitä muutokset voivat tarkoittaa yrityksesi kannalta.
Brexit ja GDPR - kaikki mitä sinun on tiedettävä
Sovelletaanko GDPR:ää edelleen Yhdistyneessä kuningaskunnassa?
Tammikuun1. päivänä 2021 EU:n yleistä tietosuoja-asetusta ei enää sovelleta Yhdistyneessä kuningaskunnassa, koska se on EU:n asetus. Jos yrityksesi kuitenkin toimii Yhdistyneessä kuningaskunnassa, sinun on edelleen noudatettava Yhdistyneen kuningaskunnan tietosuojalainsäädäntöä. Yhdistyneen kuningaskunnan hallitus on sisällyttänyt GDPR:n Yhdistyneen kuningaskunnan lainsäädäntöön UK GDPR:nä.
Käytännössä tämä tarkoittaa, että hyvin vähän on muuttunut. Joitakin muutoksia on tehty Yhdistyneen kuningaskunnan EU:n ulkopuolisen aseman huomioon ottamiseksi, mutta tietosuoja-asetuksen keskeiset tietosuojaperiaatteet, -oikeudet ja -velvoitteet ovat pysyneet samoina ja ne on kirjattu Yhdistyneen kuningaskunnan tietosuoja-asetukseen.
Sovelletaanko GDPR:ää edelleen, jos yrityksesi toimii Euroopan talousalueella (ETA)?
Kyllä. Jos yrityksesi toimii Euroopassa, tarjoaa tavaroita tai palveluja Euroopassa asuville henkilöille tai seuraa Euroopassa asuvien henkilöiden käyttäytymistä, EU:n tietosuoja-asetusta sovelletaan edelleen. Jos organisaatiollasi on käsittelytoimia sekä EU:ssa että Yhdistyneessä kuningaskunnassa, sinun on noudatettava sekä Yhdistyneen kuningaskunnan että EU:n tietosuoja-asetusta.
Miten Brexit vaikuttaa kansainvälisiin tiedonsiirtoihin?
Osana uutta kauppasopimusta EU on suostunut lykkäämään siirtorajoituksia enintään neljän kuukauden ajaksi, jota voidaan jatkaa kuuteen kuukauteen. Tämän siirtymämekanismin ansiosta henkilötiedot voivat kulkea vapaasti Euroopan talousalueelta (ETA) Yhdistyneeseen kuningaskuntaan, kunnes tietosuojan riittävyyttä koskeva päätös on tehty.
Koska Yhdistynyt kuningaskunta on nyt eronnut EU:sta, se luokitellaan tietosuoja-asetuksen mukaan "kolmanneksi maaksi" Euroopassa. Kolmannet maat ovat valtioita, jotka jäävät EU:n GDPR-alueen ulkopuolelle. Tietojen siirtoa EU:sta kolmansiin maihin rajoitetaan, ellei Euroopan komissio myönnä tietosuojan riittävyyttä.
Euroopan komissio myöntää maille tietosuojan riittävyyden, jos niiden katsotaan olevan tietosuojan kannalta riittävällä tasolla. Muita maita, joille EU on myöntänyt riittävyyden, ovat Argentiina, Uusi-Seelanti, Israel ja Japani. Jos Yhdistyneelle kuningaskunnalle myönnetään riittävä asema, henkilötietojen vapaa liikkuvuus jatkuu ilman uusia rajoituksia.
Riittääkö EU Yhdistyneestä kuningaskunnasta tulevien tietojen siirroille?
Kyllä. Yhdistyneen kuningaskunnan hallitus on vahvistanut, että se tunnustaa EU:n siirtymävaiheessa riittäväksi, jotta Yhdistyneestä kuningaskunnasta voidaan siirtää tietoja ilman uusia siirtomekanismeja.
Tarvitseeko yrityksesi eurooppalaista edustajaa?
Jos yrityksesi tarjoaa tavaroita tai palveluja ETA-alueella asuville henkilöille tai jos valvot ETA-alueella asuvien henkilöiden käyttäytymistä, sinun on ehkä nimitettävä EU:n edustaja. Vastaavasti jos yrityksesi ei sijaitse Yhdistyneessä kuningaskunnassa, mutta käsittelet Yhdistyneen kuningaskunnan kansalaisten henkilötietoja, saatat joutua nimeämään Yhdistyneen kuningaskunnan edustajan Yhdistyneen kuningaskunnan tietosuoja-asetuksen nojalla.
Mikä on ICO:n rooli?
ICO pysyy Yhdistyneen kuningaskunnan tietosuojalainsäädännön riippumattomana valvontaelimenä. Se ei kuitenkaan ole enää EU:n valvontaviranomainen, joten jos käsittelet EU:n kansalaisten tietoja, sinulla on oltava nimetty EU:n edustaja. ICO on todennut selvästi, että jos käsittelet EU:n kansalaisten tietoja, sinun on edelleen noudatettava tietosuoja-asetusta.
Kenelle ilmoitat tietomurrosta?
Tietomurron sattuessa Yhdistyneessä kuningaskunnassa toimiva yritys ottaa yhteyttä ICO:hon. Brexitin jälkeen ICO tutkii vain tietosuojaan liittyviä tapauksia, jotka koskevat brittiläisiä henkilöitä. Jos tietoturvaloukkaus koskee useita kansalaisuuksia, ICO käynnistää tutkimuksen ja asioi kunkin asianomaisen alueen valvontaviranomaisten kanssa. Jos kyseessä ovat ETY-maiden rekisteröidyt, sinun on otettava yhteyttä suoraan asianomaisiin EU:n valvontaviranomaisiin.
Vaikuttaako tämä muihin tietosuojasäännöksiin?
DPA
Yhdistyneen kuningaskunnan vuoden 2018 tietosuojalakia(DPA 2018) sovelletaan edelleen, ja se täydentää Yhdistyneen kuningaskunnan tietosuoja-asetusta.
PECR
Vuoden 2003 tietosuojaa ja sähköistä viestintää koskevissa määräyksissä (PECR) säädetään markkinointia, evästeitä ja sähköistä viestintää koskevista säännöistä. Kyseessä on Yhdistyneen kuningaskunnan erityisasetus, joka on johdettu eprivacy-direktiivinä tunnetusta EU:n lainsäädännöstä (eprivacy-direktiivin korvaamista ePrivacy-asetuksella suunnitellaan parhaillaan). PECR pysyy siis voimassa, eikä Yhdistyneen kuningaskunnan ero EU:sta vaikuta siihen.
NIS
Myös verkko- jatietojärjestelmien turvallisuutta koskeva direktiivi on peräisin EU:n lainsäädännöstä, mutta se on säädetty Yhdistyneen kuningaskunnan lainsäädännössä. Näin ollen nykyisiä sääntöjä sovelletaan edelleen. Jos olet kuitenkin Yhdistyneessä kuningaskunnassa toimiva digitaalisten palvelujen tarjoaja, joka tarjoaa palveluja EU:ssa, sinun on ehkä nimettävä edustaja johonkin niistä EU:n jäsenvaltioista, joissa tarjoat palveluja.
eIDAS
Sähköistä tunnistamista, todentamista ja luottamuspalveluja koskeva asetus on myös EU:n lainsäädäntöä, mutta sitä ei enää sovelleta Yhdistyneessä kuningaskunnassa. Yhdistyneen kuningaskunnan hallitus on kuitenkin ilmoittanut, että se aikoo sisällyttää eIDAS-säännöt Yhdistyneen kuningaskunnan lainsäädäntöön, joten jos olet brittiläinen luottamuspalvelujen tarjoaja, sinun on edelleen noudatettava näitä sääntöjä. Lisäksi jos tarjoat palveluja EU:ssa, sinun on noudatettava eIDAS-sääntöjä myös EU:n jäsenvaltioissa.
FOIA
Vuoden 2000 tiedonvälityksen vapautta koskeva laki on osa Yhdistyneen kuningaskunnan lainsäädäntöä, ja sitä sovelletaan edelleen.
EIR
Ympäristötietoasetukset ovat Yhdistyneen kuningaskunnan lainsäädäntöä, joten niitä sovelletaan edelleen, ellei niitä kumota tai muuteta.
Mihin toimiin yritysten tulisi ryhtyä Brexitin jälkeen?
Organisaatioiden on tehtävä yksityiskohtainen tietosuoja-arviointi arvioidakseen, onko muutoksia tehtävä. Jos yrityksesi sijaitsee Yhdistyneessä kuningaskunnassa ja tarjoaa tavaroita ja palveluja pääasiassa Yhdistyneessä kuningaskunnassa asuville asiakkaille, sinun ei tarvitse tehdä juuri mitään. Jos kuitenkin tarjoat tavaroita ja palveluja sekä EU:n että Yhdistyneen kuningaskunnan asiakkaille, muutoksia voi olla tarpeen tehdä. Varmistaaksesi, että organisaatiosi noudattaa asiaankuuluvaa tietosuojalainsäädäntöä, yrityksesi tulisi:
- Kartoita tietovirrat varmistaaksesi, että yrityksesi voi noudattaa sekä Yhdistyneen kuningaskunnan että EU:n yleistä tietosuoja-asetusta.
- Päivitä käsittelyä koskevat tiedot EU:n GDPR:n ja Yhdistyneen kuningaskunnan GDPR:n vaatimusten mukaisiksi.
- Arvioidaan, onko EU:n valvontaviranomainen, joka on nyt johtava valvontaviranomainen.
- Päivitetään tietoturvaloukkausten torjuntasuunnitelmat, jotta ICO:lle ja EU:n LSA:lle voidaan ilmoittaa mahdollisesta tietoturvaloukkauksesta.
- Harkitse, tarvitseeko yrityksesi nimetä Yhdistyneen kuningaskunnan ja/tai EU:n edustaja.
- Päivitetään tietosuojailmoitukset sen varmistamiseksi, että niissä esitetään yksityiskohtaisesti tietovirrat ja että ne kattavat molempien lainsäädäntöjen asiaankuuluvat vaatimukset.
- Muutetaan nykyisiä sopimuksia ja malleja siten, että niihin sisällytetään asianmukaiset viittaukset sekä Yhdistyneen kuningaskunnan että EU:n tietosuoja-asetukseen.
- Harkitse, onko tietosuojaa koskevia vaikutustenarviointeja ja oikeutettujen etujen arviointeja päivitettävä Yhdistyneen kuningaskunnan tietosuoja-asetuksen noudattamiseksi.
- Varmistetaan, että rajatylittäviä tietovirtoja varten on olemassa asianmukaiset suojatoimet.
- Arvioi, onko sinun nimitettävä erillinen Yhdistyneen kuningaskunnan ja EU:n tietosuojavastaava.
