fbpx
Zaznacz stronę

W ostatnich tygodniach słyszymy o ustaleniach dotyczących warunków wychodzenia Wielkiej Brytanii z Unii Europejskiej. Często pojawia się czarny scenariusz, czyli tzw. twardy Brexit. Oznaczałoby to, że UK może wyjść z Unii bez zawarcia regulującej to umowy międzynarodowej, a to z kolei powodowałoby utrudnienia na wielu płaszczyznach, między innymi w stosunkach gospodarczych. 

Czy Wielka Brytania będzie stosować RODO?

Wielka Brytania ma być członkiem Unii tylko do 29 marca 2019 r. To oznacza, że do tego czasu stosuje RODO, a przekazywanie danych do Wielkiej Brytanii traktowane jest jako bezpieczne. W krajach UE oraz Islandii, Lichtensteinie i Norwegii transfer danych jest dozwolony, praktycznie tak, jakby odbywał się na terenie naszego kraju. Wszyscy przedsiębiorcy z wyżej wymienionych krajów muszą przestrzegać tych samych warunków przetwarzania danych. Co jednak stanie się, gdy UK wyjdzie z Unii?

Wielka Brytania ma być członkiem Unii tylko do 29 marca 2019 r.

Wielka Brytania po opuszczeniu struktur UE w kontekście RODO stanie się państwem trzecim. To termin, który stosuje się obecnie dla wszystkich krajów nienależących do Europejskiego Obszaru Gospodarczego (UE, Islandia, Lichtenstein i Norwegia). Od 30 marca po stronie tych podmiotów, które będą chciały przekazywać dane osobowe do UK mogą wystąpić pewne utrudnienia. Szczególną uwagę na ten problem powinny zwrócić podmioty, które już dzisiaj przekazują tam dane osobowe.

Wielka Brytania po opuszczeniu struktur UE w kontekście RODO stanie się państwem trzecim.

Czy jest się czego obawiać?

Prezes Urzędu Ochrony Danych zaleca, aby już teraz bliżej przyjrzeć się temu jakie dane i w jakim celu przekazujemy do Wielkiej Brytanii. Jednym z kluczowych zagadnień ma być ustalenie, czy po 29 marca nadal chcemy, aby transfer danych trwał. Jeśli tak, to trzeba mieć na uwadze, że może to wymagać wprowadzenia dodatkowych mechanizmów bezpiecznego przekazywanie danych do państw trzecich, a także zmiany wewnętrznej dokumentacji przetwarzania danych.

Jakie mechanizmy powinny zostać wprowadzone?

Istnieje wiele możliwości legalnego przekazywania danych do państw trzecich.


Najmniej kłopotliwe i praktykowane dotychczas, np. w stosunku do  Stanów Zjednoczonych, Kanady czy Izraela to wydanie pozytywnej decyzji przez Komisję Europejską co do bezpieczeństwa przetwarzania danych w tych krajach. Na mocy takiej decyzji podmioty z UE mogą ze spokojem transferować dane osobowe. Komisja Europejska nie może jednak obecnie podjąć formalnie takiej decyzji, gdyż UK jest nadal członkiem Unii. W praktyce zatem, nie uda się tego zrobić przed końcem marca. Dlatego warto przyjrzeć się innym sposobom na bezpieczne przekazywanie danych do państw trzecich. 

W przypadku korporacji międzynordowych takim mechanizmem mogą być wiążące reguły korporacyjne. Co jednak powinni zrobić inni przedsiębiorcy? Rozwiązaniem może być zastosowanie standardowych klauzul umownych ochrony danych, które zostały zatwierdzone przez Komisję Europejską. Jest to rodzaj umowy zawieranej przez administratora danych z podmiotem w państwie trzecim, któremu przekazuje się dane osobowe. Odpowiedni zapis można będzie dodać do umowy o współpracy, a do trwających już umów aneks lub osobny dokument regulujący przetwarzanie danych. 

RODO umożliwia także przekazywanie danych do państw trzecich w sytuacjach szczególnych.

RODO umożliwia także przekazywanie danych do państw trzecich w sytuacjach szczególnych. Z takim wyjątkiem mamy do czynienia wtedy, gdy osoba której dane dotyczą wyraźnie wyraziła na to zgodę. Oczywiście pod warunkiem swobodnego wyrażenia zgody i po uprzednim poinformowaniu o ewentualnym ryzyku przekazania danych. Dane można będzie także przekazać, jeśli okaże się to niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem danych. To tylko niektóre z możliwości.

Moim zdaniem, o ile nie znajdziemy przesłanki szczególnej legalizującej przekazywanie danych, to w pierwszej kolejności będzie należało podpisać standardowe klauzule umowne, a następnie czekać na wydanie pozytywnej decyzji przez Komisję Europejską. Taki scenariusz wydaje się najbardziej prawdopodobny.

Co w praktyce trzeba będzie zmienić, jeśli dojdzie do Brexitu?

Oprócz spełnienia warunku bezpiecznego przekazana danych, szczególną uwagę zwracam na odpowiednie udokumentowanie tego faktu. Zmianie ulegnie także rejestr czynności przetwarzania, w którym każdy podmiot jest zobowiązany do podania, między innymi, informacji o tym, czy dane są przekazywane do państw trzecich. Kolejną rzeczą do modyfikacji będzie tzw. klauzula informacyjna dla osób, których dane dotyczą. W przypadku zamiaru przekazania danych do państw trzecich należy przekazać informację o nazwie tego państwa oraz zapewnieniu odpowiedniego poziomu ich ochrony. Wiąże się to, między innymi, z aktualizacją regulaminów czy polityk prywatności, w których informujemy o zasadach przetwarzania ich danych.

Przekazywanie danych do państw trzecich musi być odpowiednio udokumentowane!

W zależności od przebiegu wydarzeń w najbliższych tygodniach PUODO będzie przekazywał aktualne informacje i wskazówki. Odpowiedni poradnik opracowuje także Ministerstwo Cyfryzacji. Niebawem okaże się zatem, który scenariusz się spełni.