Wystąpienie Wielkiej Brytanii z Unii Europejskiej (tzw. BREXIT) budzi ogromne emocje, gdyż im bliżej do tej granicznej daty, w przypadku bezumownego wyjścia z Unii Europejskiej, w świetle przepisów rozporządzenia 2016/679 z 27 kwietnia 2016 r. (RODO) Wielka Brytania stanie się tzw. „państwem trzecim”, a co więcej – opuści także tzw. Europejski Obszar Gospodarczy.

Co Brexit oznacza dla ochrony danych osobowych i ich transferu na terytorium Wielkiej Brytanii?

Przypomnieć przede wszystkim należy, iż zgodnie z rozdziałem V RODO, przekazanie danych osobowych do państwa trzeciego może nastąpić tylko pod warunkiem, że administrator lub procesor przy takim przekazaniu zapewnią, że nie zostanie naruszony stopień ochrony osób fizycznych zagwarantowany przez RODO.

Transfer ten może zostać dokonany wobec tego m.in. na podstawie decyzji Komisji Europejskiej stwierdzający odpowiedni stopień ochrony. Na dzień dzisiejszy w stosunku do Wielkiej Brytanii taka decyzja nie została wydana, wobec czego oczywistym jest, iż po dokonanym BREXICIE, administratorzy i procesorzy będą obowiązani do zapewnienia odpowiedniego poziomu zabezpieczeń oraz pod zachowanym warunkiem, iż w Wielkiej Brytanii będą egzekwowalne prawa osób, których dane dotyczą.

Odpowiednie zabezpieczenia, o których mowa powyżej,  można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą następujących instrumentów:

• prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
• wiążących reguł korporacyjnych zgodnie z art. 47 RODO (odpowiednie polityki ochrony danych osobowych);
• standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
• standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
• zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do zastosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;
• zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Ze wstępnej analizy Grupy Roboczej art. 29 ds. Ochrony danych osobowych  wynika jednak, że wiążące reguły korporacyjnie zatwierdzone dotychczas przez ICO (Information Commissioner Office – brytyjski organ nadzorczy) nie pozostaną w mocy po wystąpieniu z Unii Europejskiej, wobec czego przekazywanie i przetwarzanie danych na terytorium Wielkiej Brytanii w oparciu o art. 47 RODO nie będzie dalej możliwe, co w sposób oczywsity utrudni przekazywanie danych po dojściu BREXIT-u do skutku.

Co zatem w przypadku, gdy żadna z powyższych przesłanek legalizacyjnych nie zajdzie?

Może oczywiście mieć miejsce sytuacja, gdy przetwarzanie i przekazywanie danych na teren Wielkiej Brytanii na podstawie wyżej wymienionych przesłanek nie będzie miało miejsca.  Wtedy zgodnie z art. 49 ust. 1 RODO, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego (lub organizacji międzynarodowej) przez administratorów oraz procesorów może nastąpić tylko pod warunkiem, że:

• osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, jednoznacznie i dobrowolnie wyraziła na nie zgodę;
• przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przed umownych podejmowanych na polecenie osoby, której dane dotyczą;
• przekazanie jest konieczne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
• przekazanie jest konieczne ze względu na ważne względy interesu publicznego;
• przekazanie jest konieczne do ustalenia, dochodzenia lub ochrony roszczeń;
• przekazanie jest konieczne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
• przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale jedynie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Jeżeli jednak przekazanie danych nie będzie mogło się opierać na art. 45 ani 46 RODO, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania żaden z wyjątków mających zastosowanie w szczególnych sytuacjach opisanych powyżej, przekazanie do państwa trzeciego może nastąpić jedynie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest konieczne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.  Co więcej, administrator jest zobowiązany do poinformowania organu nadzorczego o takim przekazaniu, co wynika wprost z Motywu 113 RODO. Co więcej, poza informacjami, o których mowa w art. 13 i 14 RODO, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

Jakie kroki powinien wobec tego podjąć przedsiębiorca, który w ramach swojej działalności przekazuje dane osobowe na terytorium Wielkiej Brytanii?

Zalecane jest, aby w celu optymalnego przygotowania na nieuchronne zmiany, administratorzy danych lub podmioty przetwarzające dane przekazywane do Wielkiej Brytanii, zidentyfikowali, jakie dane, w jakich celach i na jakiej podstawie prawnej przekazują obecnie do Wielkiej Brytanii. Dalej należy ustalić, czy po opuszczeniu Unii Europejskiej przez Wielką Brytanię dalej konieczne będzie przekazywanie tam danych osobowych osób fizycznych.

Jeżeli taki, należy uzupełnić dotychczasowe klauzule informacyjne (tzw. Obowiązki informacyjne z art. 13 i 14 RODO) o informację o przekazywaniu danych poza obszar nie tylko Unii Europejskiej, ale także Europejskiego Obszaru Gospodarczego.

Koniecznym także będzie odpowiednie uzupełnienie rejestrów czynności przetwarzania o informację o przekazywaniu poza EOG, jak i o informacje o środkach zabezpieczenia stosowanych w Wielkiej Brytanii.

Polecamy także ciągle monitorowanie kwestii wydania decyzji przez Komisję Europejską stwierdzającej odpowiedni stopień ochrony, a niezależnie od tego – także innych instrumentów uprawniających do przekazywania danych osobowych na terytorium państwa trzeciego (na nowo zatwierdzone wiążące reguły korporacyjne czy tez certyfikowane kodeksy postępowania).

Podsumowując niniejszy artykuł nie sposób nie nawiązać do ciągłych zawirowań wokół sposobu wyjścia Wielkiej Brytanii z UE. Biorąc pod uwagę regulacje RODO, nie byłoby bowiem problemu w przypadku wynegocjowania porozumienia, jako iż dwuletni okres przejściowy dałby Komisji czas na wydanie odpowiedniej decyzji umożliwiającej przekazywanie danych pomiędzy państwami Unii a Wielką Brytanią.

Jednakże  tzw. „twarde wystąpienie” z UE (na które niestety się zanosi) niechybnie spowoduje, iż przez co najmniej kilka miesięcy przedsiębiorstwa będą musiały sobie jednak radzić bez oficjalnej decyzji Komisji Europejskiej, na podstawie m.in. przedstawionych w artykule przesłanek legalizujących transfer.

Anna Sznycer-Klein, radca prawny