פאנל הרגולטורים האירופאים (EDPB) פרסם לאחרונה גילוי דעת בעניין העברות מידע לבריטניה תחת ה-GDPR במקרה בו בריטניה והאיחוד האירופי לא יגיעו להסדר פרישה מוסכם עד ליום הברקזיט שיחול ב- 29 במרץ 2019.
גילוי הדעת מפרט את הצעדים שעל ארגונים לנקוט כדי להתכונן ליום שאחרי הברקזיט ללא הסדר פרישה מוסכם -
• לזהות אילו מבין פעולות עיבוד המידע שלהן כרוכות בהעברת מידע אישי ממדינות האיחוד האירופי והאזור הכלכלי האירופי (EEA) לבריטניה;
• לקבוע מנגנון העברת המידע המתאים (למשל, הוראות חוזיות אחידות, כללים תאגידיים מחייבים ("BCRs"));
• ליישם את מנגנון ההעברה הנבחר לפני יום 30 במרץ 2019;
• לציין בתיעוד הפנימי של הארגון כי מתבצעות העברות מידע אישי לבריטניה;
• לעדכון את מדיניות הפרטיות של הארגון כדי ליידע אנשים בנוגע להעברות המידע לבריטניה.
גילוי הדעת מציין כי ארגונים מתוך ה-EEA מחויבים ליישם מנגנון על מנת להכשיר העברת מידע לבריטניה תחת ה-GDPR, מתוך המנגנונים המקובלים להעברת מידע אל מחוץ ל- EAA , וביניהם:
• הוראות חוזיות אחידות (Standard Contract Clauses);
• כללים תאגידיים מחייבים (Binding Corporate Rules - BCR);
• קוד התנהגות ומנגנון אישור (Codes of conduct and certification mechanisms) – מנגנונים חדשים שאומצו תחת ה- GDPR;
• החרגות (Derogations) – עליהם ניתן להסתמך רק בהעדר הוראות חוזיות אחידות או אמצעי הגנה מתאימים אחרים.
גילוי הדעת גם מזכיר כי ממשלת בריטניה מתירה העברה חופשית של מידע מבריטניה למדינות ה -EEA גם לאחר עזיבת בריטניה את האיחוד האירופי.