Brexit nie zmienia nic dla przedsiębiorców, którzy przetwarzają dane polskich obywateli świadcząc im swoje usługi z Wielkiej Brytanii. Do takich przedsiębiorców nadal będzie się bezpośrednio stosować RODO. Zmienią się jednak zasady przekazywania danych do Wielkiej Brytanii. - W przypadku wystąpienia Wielkiej Brytanii z Unii Europejskiej bez zawarcia regulującej to umowy międzynarodowej, obecne zasady przekazywania danych do tego kraju będą obowiązywały tylko do 29 marca 2019 r. - mówi dr Edyta Bielak-Jomaa, prezes UODO.  Do 29 marca 2019 r. – czyli tak długo, jak Wielka Brytania będzie członkiem Unii Europejskiej – przekazywanie danych do podmiotów działających na terytorium tego państwa będzie mogło się odbywać swobodnie bez żadnych dodatkowych ograniczeń tak, jak to miało miejsce dotychczas. Transfery danych w obrębie UE korzystają z zasady swobodnego przepływu. Zgodnie z nią przekazywanie danych z Polski do innych państw Europejskiego Obszaru Gospodarczego (UE oraz Islandia, Liechtenstein i Norwegia) jest traktowane tak samo, jakby miało miejsce na terenie Polski. Wymagane jest przestrzegania podstawowych zasad przetwarzania danych i wynikających z nich obowiązków.

 

 

Wielka Brytania jak państwo trzecie

Od 30 marca 2019 r. Wielka Brytania w świetle ogólnego rozporządzenia o ochronie danych 2016/679 (RODO) będzie traktowana jako państwo trzecie. Oznacza to, że wszystkie transfery danych do tego państwa muszą spełniać dodatkowe wymogi dotyczące przekazywania danych do państw trzecich lub organizacji międzynarodowych, które zostały określone w rozdziale V RODO. Co do zasady przekazywanie danych do państwa trzeciego może mieć miejsce, gdy Komisja Europejska stwierdzi, że to państwo zapewnia odpowiedni poziom ochrony danych osobowych. W ramach objętych taką decyzją przekazanie danych jest dopuszczalne bez konieczności podejmowania dodatkowych działań. KE wydała takie decyzje np. wobec Kanady, Nowej Zelandii, czy Izraela. Niestety nie jest możliwe, by KE wydała w sprawie Wielkiej Brytanii taką decyzję pod koniec marca 2019 roku. Dlatego do czasu wydania przez KE stosownej decyzji należy sprawdzić alternatywne rozwiązania, które umożliwią przekazywanie danych.Dlatego każdy administrator danych lub podmiot przetwarzający, którzy obecnie przekazują dane do Wielkiej Brytanii, powinien:

  • Zidentyfikować, jakie dane, w jakich celach i na jakiej podstawie prawnej są obecnie przekazywane do Wielkiej Brytanii;
  • Zdecydować, czy te transfery będą kontynuowane po 29 marca 2019 r.;
  • Wybrać i wdrożyć odpowiedni mechanizm, bądź podstawę prawną umożliwiającą przekazywanie danych;
  • W razie potrzeby zmodyfikować:
    •  o wewnętrzną dokumentację przetwarzania danych, w tym rejestr czynności przetwarzania,
    • o klauzule informacyjne,
    • o istniejące wiążące reguły korporacyjne.

 

 

Standardowe klauzule umowne

Przedsiębiorcy w pierwszej kolejności powinni pomyśleć o zastosowaniu standardowych klauzul umownych ochrony danych, które zostały zatwierdzone przez KE.
Obecnie obowiązują trzy decyzje Komisji Europejskiej:

  1. decyzja 2001/497/WE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE. Tekst decyzji dostępny jest tutaj.
  2. decyzja 2004/915/WE zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich. Tekst decyzi ecyzja jest tutaj.
  3. decyzja 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, która umożliwia przekazywanie danych w ramach ich powierzenia. Tekst decyzji  dostępny jest tutaj.
     

Wiążące reguły korporacyjne

Międzynarodowe grupy kapitałowe mogą także skorzystać z wiążących reguł korporacyjnych, które zostały wcześniej zatwierdzone przez GIODO, bądź jeden z organów ochrony danych osobowych z państw członkowskich UE w ramach przewidzianej przez RODO procedury spójności. Należy pamiętać, że dotychczasowe wiążące reguły korporacyjne muszą zostać zmodyfikowane poprzez umieszczenie importerów danych z Wielkiej Brytanii w grupie państw trzecich.

Wyjątki w szczególnych sytuacjach

RODO dopuszcza przekazywanie danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony lub gdy nie zapewniono odpowiednich zabezpieczeń jak standardowe klauzule umowne, czy wiążące reguły korporacyjne. Jest to możliwe w szczególnych sytuacjach. Mowa o nich w art. 49 RODO. Są to następujące szczególne sytuacje:
1)    Osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę. Należy podkreślić, że zgoda musi:
a.    być wyraźna,
b.    dotyczyć konkretnie danego jednorazowego/wielokrotnego przekazania danych,
c.     być świadoma, w szczególności osoba udzielająca zgody musi być zdawać sobie sprawę z ewentualnego ryzyka, z którym może się wiązać przekazanie.
2)    Przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą,
a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą.
3)    Przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną.
4)    Przekazanie jest niezbędne ze względu na ważne względy interesu publicznego.
5)    Przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.
6)    Przekazanie niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.
7)    Przekazanie danych następuje z publicznego rejestru.
8)    Przekazanie jest niezbędne ze względu na ważne prawnie uzasadnione interesy administratora i zostały spełnione dodatkowe wymogi.
Europejska Rada Ochrony Danych szczegółowo omówiła  podstawy przekazania tak danych w wytycznych.


Czytaj w LEX:

Wiążące reguły korporacyjne – pojęcie, istota i korzyści z ich stosowania >>

Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>