Impact possible du brexit sur le transfert de données personnelles vers le Royaume-Uni ? Une période de transition est prévue jusqu’au 31 décembre 2020. Pour l’instant, rien ne changera.
Ce qui se passe à partir du 1er janvier 2021
Le transfert de données à caractère personnel peut encore avoir lieu au cours des quatre premiers mois de 2021, comme c’est le cas actuellement. Cela a été stipulé dans l’accord de Brexit du 24 décembre 2020. Cela ne peut se faire que si le Royaume-Uni ne modifie pas ses règles en matière de protection des données personnelles. Économique
Cette période pourrait éventuellement être étendue à six mois. La situation après cette période n’est pas connue à l’heure actuelle et dépend de l’adoption ou non d’une décision d’adéquation par la Commission européenne concernant le transfert de données à caractère personnel vers le Royaume-Uni.
Que se passe-t-il si une décision d’adéquation est prise ? Voir les exportations UK
La libre circulation des données personnelles vers le Royaume-Uni peut rester libre si la Commission européenne adopte une décision d’adéquation sur le niveau de protection approprié pour le traitement des données personnelles.
Que se passe-t-il si aucune décision d’adéquation n’est prise ?
Le Royaume-Uni est considéré comme un pays tiers lors du transfert de données à caractère personnel, c’est-à-dire un pays situé en dehors de l’EEE si aucune décision d’adéquation n’a été prise par la Commission européenne.
Cela signifie qu’il faudra se conformer aux règles de confidentialité du GDPR applicables aux transferts de données personnelles vers des pays tiers à partir du 1er juillet 2021. Restez à jour grâce à la plateforme d’apprentissage .
Quelles sont les entreprises concernées par le Brexit ?
Pour toutes les organisations qui traitent des données personnelles dans l’Espace économique européen, le Brexit a des implications !
Par exemple ;
- une entreprise multinationale qui possède également une succursale au Royaume-Uni ;
- une organisation belge qui consulte un secrétariat social au Royaume-Uni pour calculer les salaires ;
- Une municipalité belge passe un contrat avec un fournisseur britannique de services en nuage pour le stockage de données.
Il est essentiel de vérifier si la ou les organisations avec lesquelles votre organisation partage des données personnelles sont basées au Royaume-Uni.
Quels sont les documents nécessaires après le Brexit ?
- Il existe des règles standard ou spécifiques en matière de protection des données. Pour plus d’informations, veuillez contacter iReto.
- Il existe des codes de conduite ou des mécanismes de certification.
- Dans les organisations internationales et les entreprises multinationales, les données à caractère personnel sont toujours transférées entre les SBU elles-mêmes et certaines unités commerciales peuvent être situées en dehors de l’Espace économique européen (EEE). À cette fin, ces organisations élaboreront des codes de conduite internes, appelés au niveau international “règles d’entreprise contraignantes” (Binding Corporate Rules ou BCR).
- Si l’on veut ou doit traiter ou transférer des données à caractère personnel vers des pays qui ne disposent pas du niveau de protection approprié, le BCR prévoit des garanties pour optimiser la protection des données à caractère personnel.
- Une BCR doit toujours être approuvée par le régulateur européen de la protection de la vie privée, après quoi l’approbation peut être donnée par le Comité européen de protection des données. Dans la BCR, tous les aspects doivent être conformes à la loi européenne sur la protection de la vie privée, appelée règles GDPR ou AVG.
- Il peut également y avoir des échanges sporadiques de données à caractère personnel vers des pays tiers, dont l’exportation est autorisée dans des conditions strictes et avec un nombre élevé d’exceptions.
Peut-on encore recevoir des données du Royaume-Uni après le Brexit ?
Le gouvernement britannique a confirmé qu’il restait possible d’échanger des données personnelles avec les États membres de l’UE. Regarder
Quel sera le rôle de l’ICO ou de l’Information Commissioner’s Office ?
L’ICO reste l’organe de contrôle indépendant en ce qui concerne la loi britannique sur la protection des données.
Pendant la période de transition, l’OIC participera au mécanisme de coopération et de cohérence prévu par le GAV et restera une autorité de contrôle chef de file.
Le gouvernement britannique continuera à œuvrer pour maintenir des relations de travail étroites entre l’ICO et les autorités de contrôle de l’UE une fois la période de transition terminée.
Faut-il désigner un représentant ?
Si vous êtes basé en dehors du Royaume-Uni et que vous n’avez pas de succursale, de bureau ou d’autre établissement au Royaume-Uni et que vous.. :
- offrir des biens ou des services à des particuliers au Royaume-Uni ; ou
- surveiller le comportement des individus au Royaume-Uni,
vous devez alors vous conformer au GDPR britannique à partir du 1er janvier 2021. Le GDPR britannique exige que vous désigniez un représentant au Royaume-Uni.
Votre représentant peut être une personne, une société ou une organisation basée au Royaume-Uni, et doit être en mesure de vous représenter en ce qui concerne vos obligations en vertu de la loi sur la protection des animaux du Royaume-Uni (par exemple, un cabinet d’avocats, un cabinet de conseil ou un particulier). Dans la pratique, le moyen le plus simple de désigner un représentant est un simple contrat de service.
Vous devez autoriser par écrit le représentant à agir en votre nom en ce qui concerne la conformité de votre AVG au Royaume-Uni et à communiquer avec l’ICO et les personnes concernées.