„Brexit” – jeden z dłuższych seriali nowoczesnej Europy, tak długi i skomplikowany, że dla wielu firm współpracujących z Wielką Brytanią wydawał się niemożliwy. Niemniej, koniec zapowiadany w trailerach się ziścił. Brytyjczycy opuszczają Unię Europejską. Jak teraz, kiedy opadł kurz po pierwszej serii, będzie wyglądać współpraca z Wyspiarzami? Możemy powiedzieć za Sokratesem: “wiem, że nic nie wiem”. Mamy okres przejściowy. Pozostaje nam spekulować, ale spekulacje oprzemy na faktach.
Premier Boris Johnson powiedział, że Wielka Brytania będzie teraz dążyć do „opracowania odrębnych i niezależnych polityk” w wielu obszarach, w tym w zakresie ochrony danych. Jednak w rzeczywistości Wielka Brytania prawdopodobnie nie będzie zbyt daleko odbiegać od przepisów europejskich lub ryzykować poważnymi zakłóceniami. Obecnie brytyjskie ustawodawstwo dotyczące prywatności danych jest ściśle zgodne z ogólnym rozporządzeniem o ochronie danych (GDPR), które to przepisy wprowadzono we wszystkich państwach członkowskich Unii Europejskiej w maju 2018r.
Jak doskonale wszyscy czytelnicy Kapitana Hacka wiedzą, przepisy dotyczące ochrony danych mają na celu zapewnienie obywatelom większej kontroli nad sposobem wykorzystywania ich danych osobowych przez organizacje. Firmy oferujące towary lub usługi w Unii Europejskiej muszą być zgodne z tymi przepisami.
Minęło ponad półtora roku od wejścia w życie RODO, a brytyjskie organizacje odczuły jego wpływ. Biuro komisarza ds. Informacji nałożyło grzywny na szereg przedsiębiorstw, które okazały się niezgodne z prawem w wyniku naruszenia danych lub Cyberatak.
Najbardziej znane są trzy przypadki:
Doorstep Dispensaree otrzymała karę za niedostateczny dobór środków zabezpieczających dane osobowe. Firma przechowała około 500 000 dokumentów zawierających nazwiska, adresy, daty urodzenia, numery NHS (numer ten podawany jest pacjentowi na piśmie podczas rejestracji w przychodni zdrowia (GP Practice). Numer NHS pomaga personelowi służby zdrowia uzyskać dostęp do danych medycznych pacjenta) oraz informacje medyczne i recepty w niezamkniętych, niezabezpieczonych pojemnikach, co spowodowało zalanie tych dokumentów i częściowe ich uszkodzenie.
Głośna była również sprawa Marriott International. Co prawda decyzja dotycząca tej kary nie jest ostateczna. Zostanie podjęta w momencie, gdy firma i zaangażowane organy nadzorcze innych państw członkowskich przedstawią swoje oświadczenia. ICO (brytyjski organ nadzorczy) wydało zawiadomienie o zamiarze ukarania Marriott International Inc, które dotyczyło incydentu cybernetycznego zgłoszonego ICO przez Marriott w listopadzie 2018 r. W następstwie incydentu ujawnionych zostało szereg danych osobowych zawartych w około 339 milionach wpisów dotyczących gości na całym świecie, z czego około 30 milionów dotyczyło mieszkańców 31 krajów Europejskiego Obszaru Gospodarczego (EOG). 7 milionów wpisów związanych było z mieszkańcami Wielkiej Brytanii. Uważa się, że luka w zabezpieczeniach rozpoczęła się, gdy systemy grupy hoteli Starwood zostały zainfekowane w 2014 r. Następnie grupa Marriott przejęła sieć hoteli Starwood w 2016 r., ale ujawnienie informacji o klientach nie zostało odkryte aż do 2018 r. Dochodzenie ICO wykazało, że Marriott nie dochował wystarczającej staranności, kiedy przejął grupę Starwood i powinien był zrobić więcej, aby zabezpieczyć dane wrażliwe.
Karę, również nie ostateczną dostał British Airways. ICO wydało zawiadomienie o swoim zamiarze ukarania British Airways kwotą £183,39 mln. Proponowana grzywna dotyczy incydentu cybernetycznego zgłoszonego ICO przez British Airways we wrześniu 2018 r. Incydent ten częściowo polegał na przekierowaniu ruchu użytkowników na fałszywą stronę internetową za pośrednictwem strony internetowej British Airways. Dzięki tej fałszywej stronie przestępcy mieli możliwość wejść w posiadanie danych klientów firmy. Incydent, który prawdopodobnie rozpoczął się w czerwcu 2018 spowodował, że zagrożone były dane osobowe około 500 000 klientów. Dochodzenie przeprowadzone przez ICO wykazało, że przez zastosowanie złych rozwiązań dot. bezpieczeństwa w firmie, następujące informacje mogły zostać przejęte przez przestępców: loginy, dane kart płatniczych, szczegóły rezerwacji podróży, a także informacje o tożsamości i adresie.
Wielomilionowe kary sugerują, że GDPR działa zgodnie z planem, więc nawet po wyjściu Wielkiej Brytanii z UE wydaje się mało prawdopodobne, aby Downing Street zaproponowała przepisy dotyczące ochrony danych, które odbiegają od tego, co już zostało określone przez Brukselę.
Na poziomie politycznym rząd Wielkiej Brytanii nie musi zmieniać przepisów o ochronie danych, w kontekście Brexitu, zwłaszcza że RODO jest częścią ustawodawstwa brytyjskiego na mocy Ustawy o ochronie danych z 2018 r. – a od czasu referendum ministrowie wielokrotnie powtarzali, że RODO pozostanie.
Ograniczanie przepisów o ochronie danych również nie miałoby sensu, ponieważ od czasu wejścia w życie RODO zakorzeniło się w podejściu do biznesu, konsumentów jak i do prywatności i bezpieczeństwa danych.
Nie tylko decyzja o wycofaniu RODO byłaby sprzeczna z tym, do czego ludzie są przyzwyczajeni, ale także utrudniłaby brytyjskim firmom oferowanie swoich usług w Europie w przyszłości. Dodatkowo, aby móc swobodnie handlować z resztą świata, brytyjskie przepisy dotyczące ochrony danych prawdopodobnie nadal będą musiały przestrzegać RODO, nie tylko w celu prowadzenia interesów z Unią Europejską, ale także z wieloma innymi krajami na całym świecie; ponieważ RODO szybko staje się standardem dobrego ustawodawstwa dotyczącego ochrony danych.
Inną stroną medalu jest to, jak dane Brytyjczyków będą przechowywane i czy Wielka Brytania będzie w stanie zapewnić taką ochronę danych jaką Wyspiarze mieli w EU.
I to właśnie jest bardzo wątpliwe! Już teraz w okresie przejściowym Google zdecydowało się przenieść dane użytkowników z Wielkiej Brytanii do USA. Fakt ten oburzył Brytyjskich aktywistów. Obawiają się inwigilacji ze strony amerykańskich władz. Czemu Google zdecydowało się na taki ruch? Oczywiście powodem jest brexit i fakt, że UE nie obejmuje ich już swoimi przepisami o ochronie danych.
RODO faktycznie zabrania przekazywania danych osobowych do krajów spoza UE, chyba że istnieje pewien poziom adekwatności danych – lub obowiązują umowy prawne, które uwzględniają prowadzenie interesów z krajem trzecim. Oznacza to, że po okresie przejściowym przepływ danych między Unią Europejską a Zjednoczonym Królestwem będzie musiał spełniać wymogi oceny wystarczalności danych.
Oświadczenie Johnsona po Brexicie wzywa UE do uznania, że jeśli chodzi o ochronę danych, Wielka Brytania będzie stosować dokładnie takie same ramy regulacyjne jak UE. Ale to Europa będzie decydować, czy stanowisko Wielkiej Brytanii w zakresie ochrony danych jest odpowiednie i ponieważ „małe złośliwości” są trudne do uniknięcia w kontaktach z ex-partnerem, nie jest to gwarantowane.
Wybrany post: RODO po Brexit-cie
