Trasferimento dei dati personali in caso di “No Deal Brexit”. – Übermittlung personenbezogener Daten im Falle von “No Deal Brexit”.

Newsletter

Trasferimento dei dati personali in caso di “No Deal Brexit”.

A partire dal 30 marzo 2019, in assenza di un apposito accordo, il Regno Unito diventerà un cd. “paese terzo” ed ogni trasferimento di dati da/verso tale paese sarà considerato, ai fini dell’applicabilità del Regolamento UE 2016/679 (GDPR), un trasferimento extra UE.

Il Comitato Europeo per la Protezione dei dati (EDPB) Identificare i trattamenti che implicano il trasferimento dei dati verso il Regno Unito.

  1. Determinare la base giuridica adeguata al trasferimento per specifici trattamenti.
  2. Implementare entro il 29 marzo le basi giuridiche adeguate al trasferimento.
  3. Indicare tale trasferimento dei dati nei documenti interni (registro dei trattamenti).
  4. Indicare tale trasferimento nelle informative per gli interessati.

Di seguito le basi giuridiche tipiche per legittimare un lecito trattamento dei dati:

  • Standard Data Protection Clauses o ad hoc Data Protection Clauses

Si tratta di clausole standard approvate dalla Commissione Europea, contenute e accessibili nelle decisioni 2001/497/EC, 2004/915/EC e 2010/87/EU. Tali clausole possono essere aggiunte ad (altri) contratti, a condizione che vengano sottoscritte con la medesima formulazione di cui alle predette decisioni. In caso contrario, saranno considerate clausole contrattuali ad hoce necessiteranno dell’autorizzazione del Garante nazionale, previo parere dell’EDPB.

  • Binding Corporate Rules (BCR)

Sono regole vincolanti che disciplinano il trattamento e la protezione dei dati personali, nell’ambito di società appartenenti ad un Gruppo (es. multinazionali). Se sono già in vigore e sono state autorizzate ai sensi della direttiva 95/46/EC sono valide ed efficaci anche in vigenza del GDPR, anche se dovranno essere aggiornate.

Per introdurre nuove BCRs sarà necessaria l’autorizzazione del Garante nazionale, previo parere dell’EDPB.

  • Codes of Conduct and Certification Mechanisms

“Codici di condotta” e “meccanismi di certificazione” possono costituire la base giuridica a condizione che contengano impegni vincolanti per l’organizzazione nel terzo paese. L’EDPB sta predisponendo delle linee guida in merito all’utilizzo di “codici di condotta” e di “meccanismi di certificazione”.

  • Eccezioni e deroghe

In caso di trattamenti di dati personali di natura occasionale e non ripetitiva non sarà necessario avvalersi di una delle basi giuridiche di cui sopra. L’art. 49 del GDPR stabilisce (da intendersi con interpretazione restrittiva) che:

  • L’interessato, dopo essere stato adeguatamente informato del trasferimento dei suoi dati nel Regno Unito e dei possibili rischi associati, fornisce il suo consenso a tale trasferimento.
  • Il trasferimento è necessario per dare esecuzione ad un contratto tra l’interessato e il titolare o tra titolare ed altro soggetto a favore dell’interessato.
  • Per motivi di interesse pubblico.
  • Per motivi di legittimo interesse dell’organizzazione.

Nel caso in cui si addivenisse ad un accordo entro il prossimo 29 marzo, è previsto un tempo di transizione nel corso del quale troverà applicazione l’attuale normativa di riferimento, e la Commissione dovrà adottare la “decisione di adeguatezza” o “non-adeguatezza”. Diversamente, in caso di “no deal” molto probabilmente ci sarà un periodo caratterizzato dalla carenza della “decisione di adeguatezza”, e considerate le grandi incertezze, sarà fortemente consigliato alle organizzazioni di attivarsi tempestivamente ed implementare le predette misure.

 

DISCLAIMER

La presente Newsletter ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.

 

Übermittlung personenbezogener Daten im Falle von “No Deal Brexit”.

 

Ab 30. März 2019 wird das Vereinigte Königreich, mangels einer Vereinbarung, zu einem sog. „Drittland“ und jede Übermittlung von Daten aus/in diesem Land wird unter der Verordnung (EU) 2016/679 (DSGVO) als eine Übermittlung außerhalb der EU betrachtet.

Der Europäische Datenschutzausschuss (EDSA) hat das Ergreifen der folgenden Maßnahmen (bis zum 29. März 2019) auferlegt:

  1. Bestimmung der geeigneten Rechtsgrundlagen für spezifische Verarbeitungen die der Übermittlungen der personenbezogenen Daten bedürfen.
  2. Umsetzung dieser geeigneten Rechtsgrundlagen bis zum 29. März.
  3. Angabe der Übermittlungen in den internen Dokumenten (Verzeichnis der Verarbeitungstätigkeiten).
  4. Angabe der Übermittlungen in den Informationsschreiben für die betroffenen Personen.

Im Folgenden die Rechtsgrundlagen die eine rechtmäßige Verarbeitung gewährleisten:

  • Standard Data Protection Clauses oderad hoc Data Protection Clauses

Es handelt sich dabei um von der Europäischen Kommission genehmigte Standardklauseln, die in den Beschlüssen 2001/497/EG, 2004/915/EG und 2010/87/EG enthalten und zu finden sind. Diese Klauseln können zu (anderen) Verträgen hinzugefügt werden, sofern ihre Formulierung genau dieselbe bleibt (wie sie in den zuvor genannten Beschlüssen enthalten ist) und unterzeichnet wird.Andernfalls gelten sie als Ad-hoc-Vertragsklauseln und bedürfen der Zustimmung der nationalen Aufsichtsbehörde, nach Stellungnahme des EDSA.

  • Binding Corporate Rules (BCR)

Das sind verbindliche Regeln, die die Verarbeitung und den Schutz personenbezogener Daten innerhalb von Konzerngesellschaften (z. B. multinationalen Unternehmen) regeln. Sollten sie bereits in Kraft sein und gemäß der Richtlinie 95/46/EG zugelassen sein, sind sie auch nach der DSGVO gültig und wirksam, auch wenn sie aktualisiert werden müssen.

Die Einführung neuer BCRs, bedarf der Genehmigung der nationalen Aufsichtsbehörde, nach Stellungnahme des EDSA.

  •  Codes of Conduct and Certification Mechanisms

“Verhaltenskodizes” und “Zertifizierungsmechanismen” können auch eine geeignete Rechtsgrundlage bilden, sofern sie verbindliche Verpflichtungen für das Unternehmen im Drittland enthalten. Der EDSA arbeitet an Leitlinien die die Verwendung von “Verhaltenskodizes” und “Zertifizierungsmechanismen” näher erläutern sollen.

  •  Ausnahmen und Abweichungen

Bei einer gelegentlichen Verarbeitung personenbezogener Daten, die nicht wiederholter Natur ist, ist es nicht erforderlich, eine der oben genannten Rechtsgrundlagen zu verwenden. Artikel. 49 der DSGVO legt die Ausnahmefälle fest (einschränkend auszulegen):

  • Wenn die betroffene Person, nachdem sie ausreichend über die Übermittlung der Daten im Vereinigten Königreich und über die möglichen damit verbunden Risiken informiert wurde, derselben zustimmt.
  • Wenn die Übermittlung der Daten erforderlich ist, um einen Vertrag zwischen der betroffenen Person und dem Verantwortlichen oder zwischen dem Verantwortlichen und einer anderen Person zugunsten der betroffenen Person auszuführen.
  • Wenn die Übermittlung im öffentlichen Interesse geschieht.
  • Aus Gründen eines berechtigten Interesses des Unternehmens.

Falls bis zum 29. März eine Vereinbarung gefunden werden sollte, ist mit einer Übergangszeit zu rechnen, in der die derzeit einschlägigen Rechtsvorschriften weiterhin Anwendung finden, in dieser Zeit wird die Kommission auch einen “Angemessenheitsbeschluss“ über das Vereinigte Königreich fassen oder nicht fassen. Anderenfalls wird es im Falle eines „no deal“ höchstwahrscheinlich ein Zeitraum geben, der durch das Fehlen eines “Angemessenheitsbeschlusses“ gekennzeichnet sein wird und angesichts der großen Unsicherheiten wird den Unternehmen dringend empfohlen, umgehend die vorgenannten Maßnahmen umzusetzen.

 

DISCLAIMER

Dieser Newsletter dient nur zur allgemeinen Information, er stellt kein Rechtsgutachten dar und kann keinesfalls eine spezifische Rechtsberatung ersetzen.