Twardy Brexit – jakie skutki wywrze w aspekcie przetwarzania danych osobowych

Dodano: 21 stycznia 2019
50530623_1904351612995425_98265544607662080_n

Z dużym prawdopodobieństwem dojdzie do wystąpienia Wielkiej Brytanii z Unii Europejskiej bez zawarcia umowy międzynarodowej regulującej te kwestie. Jakie skutki wywrze tzw. twardy Brexit dla administratorów i podmiotów przetwarzających? Kwestie te wyjaśniła Prezes UODO.

Wielka Brytania jako kraj trzeci

Do 29 marca 2019 r. przekazywanie danych do podmiotów działających na terytorium Wielkiej Brytanii będzie odbywało się z uwzględnieniem zasady swobodnego przepływu danych, a zatem tak, jak na terytorium kraju. Natomiast począwszy od 30 marca 2019 r. w następstwie tzw. twardego Brexitu Wielka Brytania stanie się w krajem trzecim w rozumieniu RODO. W konsekwencji przekazywanie danych do tego państwa będzie wiązało się z koniecznością spełnienia dodatkowych warunków uregulowanych w rozdziale V RODO. Co istotne, wobec tego, że mamy do czynienia z twardym Brexitem, nie zostały przewidziane żadne rozwiązania przejściowe, co oznacza, że wymogi te powinny być stosowane już od 30 marca 2019.

Co powinien zrobić podmiot przekazujący dane do Wielkiej Brytanii?

W konsekwencji każdy administrator danych osobowych jak i podmiot danych, który przekazuje dane do Wielkiej Brytanii, powinien podjąć następujące kroki:

  1. Zidentyfikować, jakie dane, w jakich celach i na jakiej podstawie prawnej są obecnie przekazywane do Wielkiej Brytanii;

  2. Zdecydować, czy te transfery będą kontynuowane po 29 marca 2019 r.;

  3. Wybrać i wdrożyć odpowiedni mechanizm, bądź podstawę prawną umożliwiającą przekazywanie danych;

  4. W razie potrzeby zmodyfikować wewnętrzną dokumentację przetwarzania danych, w tym rejestr czynności przetwarzania, klauzule informacyjne, ewentualnie istniejące wiążące reguły korporacyjne;

  5. Śledzić informacje dotyczące przebiegu procesu wyjścia Wielkiej Brytanii z UE, gdyż nie jest jeszcze pewne na jakich zasadach to nastąpi, co może mieć wpływ na obowiązki związane z transferem danych.

Można skorzystać ze standardowych klauzul umownych

Co do zasady przekazywanie danych do państwa trzeciego może mieć miejsce, gdy Komisja Europejska stwierdzi, że to państwo zapewnia odpowiedni poziom ochrony danych osobowych. Co oczywiste, do 30 marca 2019 r. taka decyzja nie zostanie wydana względem Wielkiej Brytanii. Oznacza to, że należy skorzystać z innych rozwiązań. Można sięgnąć do standardowych klauzul umownych ochrony danych zatwierdzonych przez Komisję:

Można skorzystać z wiążących reguł korporacyjnych

Z kolei międzynarodowe grupy kapitałowe mogą powołać się na wiążące reguły korporacyjne, które zostały wcześniej zatwierdzone przez organy ochrony danych osobowych w Polsce lub w innym państwie członkowskim UE przewidzianej przez RODO procedury spójności. Jak wskazuje Prezes UODO, dotychczasowe wiążące reguły korporacyjne powinny jednak być poddane modyfikacji poprzez umieszczenie importerów danych z Wielkiej Brytanii w grupie państw trzecich.

Szczególne rozwiązanie w sektorze publicznym

Z kolei w sektorze publicznym przekazywanie danych może następować bez konieczności uzyskania zgody Prezesa UODO na podstawie prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi. Poza tym transfer danych jest też możliwy za zgodą Prezesa UODO na podstawie uzgodnień administracyjnych między organami lub podmiotami publicznymi. W uzgodnieniach tych muszą być przewidziane egzekwowalne i skuteczne prawa osób, których dane dotyczą.

8 wyjątkowych sytuacji

W szczególnych przypadkach możliwe jest także przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony lub gdy nie zapewniono odpowiednich zabezpieczeń jak standardowe klauzule umowne, czy wiążące reguły korporacyjne (art. 49 RODO). Jest to dopuszczalne w następujących sytuacjach

  1. osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę (która musi być wyraźna, dotyczyć konkretnie danego przekazania danych a także być świadoma);

  2. przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, 
    a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;

  3. przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;

  4. przekazanie jest niezbędne ze względu na ważne względy interesu publicznego.

  5. przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.

  6. przekazanie niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.

  7. przekazanie danych następuje z publicznego rejestru.

  8. przekazanie jest niezbędne ze względu na ważne prawnie uzasadnione interesy administratora i zostały spełnione dodatkowe wymogi.

Co w przypadku przedsiębiorców świadczących usługi w Wielkiej Brytanii

Twardy Brexit będzie miał istotne znaczenie także dla firm świadczących usługi w Wielkiej Brytanii, przetwarzających dane osobowe polskich obywateli. Firmy takie nadal będą podlegać RODO.

Uwaga

RODO ma zastosowanie także do przetwarzania danych dotyczących osób przebywających w UE przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności te wiążą się z:

  • oferowaniem towarów lub usług takim osobom znajdującym się w UE – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub

  • monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w UE.

Obowiązkiem wskazanych przedsiębiorców jest wyznaczenie na piśmie swojego przedstawiciela w tym państwie członkowskim UE, w którym przebywają podmioty danych przetwarzanych przez danego przedsiębiorcę w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane. Nie ma jednak konieczności wyznaczania przedstawiciela, jeżeli operacje przetwarzania, mają charakter sporadyczny, nie obejmują – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel