Aktualności prawne

BREXIT a przepisy RODO

Facebook
Twitter
LinkedIn

Wystąpienie Wielkiej Brytanii z Unii Europejskiej (tzw. BREXIT) budzi ogromne emocje, gdyż im bliżej do tej granicznej daty, w przypadku bezumownego wyjścia z Unii Europejskiej, w świetle przepisów rozporządzenia 2016/679 z 27 kwietnia 2016 r. (RODO) Wielka Brytania stanie się tzw. „państwem trzecim”, a co więcej – opuści także tzw. Europejski Obszar Gospodarczy.

Co Brexit oznacza dla ochrony danych osobowych i ich transferu na terytorium Wielkiej Brytanii?

Przypomnieć przede wszystkim należy, iż zgodnie z rozdziałem V RODO, przekazanie danych osobowych do państwa trzeciego może nastąpić tylko pod warunkiem, że administrator lub procesor przy takim przekazaniu zapewnią, że nie zostanie naruszony stopień ochrony osób fizycznych zagwarantowany przez RODO.

Transfer ten może zostać dokonany wobec tego m.in. na podstawie decyzji Komisji Europejskiej stwierdzający odpowiedni stopień ochrony. Na dzień dzisiejszy w stosunku do Wielkiej Brytanii taka decyzja nie została wydana, wobec czego oczywistym jest, iż po dokonanym BREXICIE, administratorzy i procesorzy będą obowiązani do zapewnienia odpowiedniego poziomu zabezpieczeń oraz pod zachowanym warunkiem, iż w Wielkiej Brytanii będą egzekwowalne prawa osób, których dane dotyczą.

Odpowiednie zabezpieczenia, o których mowa powyżej,  można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą następujących instrumentów:

  • prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
  • wiążących reguł korporacyjnych zgodnie z art. 47 RODO (odpowiednie polityki ochrony danych osobowych);
  • standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
  • standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
  • zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do zastosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;
  • zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Ze wstępnej analizy Grupy Roboczej art. 29 ds. Ochrony danych osobowych  wynika jednak, że wiążące reguły korporacyjnie zatwierdzone dotychczas przez ICO (Information Commissioner Office – brytyjski organ nadzorczy) nie pozostaną w mocy po wystąpieniu z Unii Europejskiej, wobec czego przekazywanie i przetwarzanie danych na terytorium Wielkiej Brytanii w oparciu o art. 47 RODO nie będzie dalej możliwe, co w sposób oczywsity utrudni przekazywanie danych po dojściu BREXIT-u do skutku.

Co zatem w przypadku, gdy żadna z powyższych przesłanek legalizacyjnych nie zajdzie?

Może oczywiście mieć miejsce sytuacja, gdy przetwarzanie i przekazywanie danych na teren Wielkiej Brytanii na podstawie wyżej wymienionych przesłanek nie będzie miało miejsca.  Wtedy zgodnie z art. 49 ust. 1 RODO, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego (lub organizacji międzynarodowej) przez administratorów oraz procesorów może nastąpić tylko pod warunkiem, że:

  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, jednoznacznie i dobrowolnie wyraziła na nie zgodę;
  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przed umownych podejmowanych na polecenie osoby, której dane dotyczą;
  • przekazanie jest konieczne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • przekazanie jest konieczne ze względu na ważne względy interesu publicznego;
  • przekazanie jest konieczne do ustalenia, dochodzenia lub ochrony roszczeń;
  • przekazanie jest konieczne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale jedynie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Jeżeli jednak przekazanie danych nie będzie mogło się opierać na art. 45 ani 46 RODO, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania żaden z wyjątków mających zastosowanie w szczególnych sytuacjach opisanych powyżej, przekazanie do państwa trzeciego może nastąpić jedynie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest konieczne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.  Co więcej, administrator jest zobowiązany do poinformowania organu nadzorczego o takim przekazaniu, co wynika wprost z Motywu 113 RODO. Co więcej, poza informacjami, o których mowa w art. 13 i 14 RODO, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

Jakie kroki powinien wobec tego podjąć przedsiębiorca, który w ramach swojej działalności przekazuje dane osobowe na terytorium Wielkiej Brytanii?

Zalecane jest, aby w celu optymalnego przygotowania na nieuchronne zmiany, administratorzy danych lub podmioty przetwarzające dane przekazywane do Wielkiej Brytanii, zidentyfikowali, jakie dane, w jakich celach i na jakiej podstawie prawnej przekazują obecnie do Wielkiej Brytanii. Dalej należy ustalić, czy po opuszczeniu Unii Europejskiej przez Wielką Brytanię dalej konieczne będzie przekazywanie tam danych osobowych osób fizycznych.

Jeżeli taki, należy uzupełnić dotychczasowe klauzule informacyjne (tzw. Obowiązki informacyjne z art. 13 i 14 RODO) o informację o przekazywaniu danych poza obszar nie tylko Unii Europejskiej, ale także Europejskiego Obszaru Gospodarczego.

Koniecznym także będzie odpowiednie uzupełnienie rejestrów czynności przetwarzania o informację o przekazywaniu poza EOG, jak i o informacje o środkach zabezpieczenia stosowanych w Wielkiej Brytanii.

Polecamy także ciągle monitorowanie kwestii wydania decyzji przez Komisję Europejską stwierdzającej odpowiedni stopień ochrony, a niezależnie od tego – także innych instrumentów uprawniających do przekazywania danych osobowych na terytorium państwa trzeciego (na nowo zatwierdzone wiążące reguły korporacyjne czy tez certyfikowane kodeksy postępowania).

Podsumowując niniejszy artykuł nie sposób nie nawiązać do ciągłych zawirowań wokół sposobu wyjścia Wielkiej Brytanii z UE. Biorąc pod uwagę regulacje RODO, nie byłoby bowiem problemu w przypadku wynegocjowania porozumienia, jako iż dwuletni okres przejściowy dałby Komisji czas na wydanie odpowiedniej decyzji umożliwiającej przekazywanie danych pomiędzy państwami Unii a Wielką Brytanią.

Jednakże  tzw. „twarde wystąpienie” z UE (na które niestety się zanosi) niechybnie spowoduje, iż przez co najmniej kilka miesięcy przedsiębiorstwa będą musiały sobie jednak radzić bez oficjalnej decyzji Komisji Europejskiej, na podstawie m.in. przedstawionych w artykule przesłanek legalizujących transfer.

Anna Sznycer-Klein, radca prawny

MGS LAW London Brexit Rodo
Wiadomości

Unijna Dyrektywa OMNIBUS – nowe obowiązki dla przedsiębiorców

Od 1 stycznia 2023 roku weszły w życie nowe przepisy, wprowadzające do polskiego porządku prawnego trzy dyrektywy Parlamentu Europejskiego. Przepisy te mają na celu ujednolicenie oraz wzmocnienie zasad ochrony konsumentów. Mowa tu w szczególności  o tzw. „Dyrektywie Omnibus”.  Dyrektywa OMNIBUS – dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/2161 z dnia 27 listopada 2019 r. Regulacje zawarte w Dyrektywie Omnibus dotyczą nie tylko dostawców platform

Czytaj więcej »
Newsletter

Newsletter prawny i gospodarczy MGS LAW – grudzień 2022 r.

Zmiany w prawie, nowelizacje kodeksów i ustaw – informacje zebrane z końcem grudnia 2022 r. Newsletter prawny i gospodarczy przygotowany przez Zespół Kancelarii MGS LAW to syntetyczne informacje na temat zmian w prawie i aktualnego orzecznictwa. PRAWO ENERGETYCZNE Zawieszenie obowiązku informowania przez przedsiębiorstwa obrotu energią elektryczną o strukturze ceny energii dostarczanej do odbiorców Klaster Energii Koncesja na magazynowanie energii

Czytaj więcej »
O Nas

Kup kalendarz charytatywny – pomóż zwierzętom

Serdecznie zachęcamy naszych Klientów i Współpracowników do zakupu psich  i kocich  kalendarzy charytatywnych . Cena kalendarza to 50 zł (płatność gotówką ). Kupując kalendarz pomagasz zwierzętom. Cały dochód ze sprzedaży przeznaczony jest ma potrzeby podopiecznych Schroniska dla bezdomnych zwierząt SOPOTKOWO. Szczegóły na stronie schroniska. https://schronisko.sopot.pl/…/sopotkowe-kalendarze-2023/ Życzymy Państwu przy tej okazji wszystkiego co najlepsze w Nowym Roku! Zespół MGS

Czytaj więcej »