Przepisy RODO a nieuchronny BREXIT

Przepisy RODO a nieuchronny BREXIT

Wyst─ůpienie Wielkiej Brytanii z Unii Europejskiej (tzw. BREXIT) budzi ogromne emocje, gdy┼╝ im bli┼╝ej do tej granicznej daty, w przypadku bezumownego wyj┼Ťcia z Unii Europejskiej, w ┼Ťwietle przepis├│w rozporz─ůdzenia 2016/679 z 27 kwietnia 2016 r. (RODO) Wielka Brytania stanie si─Ö tzw. ÔÇ×pa┼ästwem trzecimÔÇŁ, a co wi─Öcej ÔÇô opu┼Ťci tak┼╝e tzw. Europejski Obszar Gospodarczy.

Co Brexit oznacza dla ochrony danych osobowych i ich transferu na terytorium Wielkiej Brytanii?

Przypomnie─ç┬áprzede wszystkim nale┼╝y, i┼╝ zgodnie z rozdzia┼éem V RODO, przekazanie danych osobowych do pa┼ästwa trzeciego mo┼╝e nast─ůpi─ç tylko pod warunkiem, ┼╝e administrator lub procesor przy takim przekazaniu zapewni─ů, ┼╝e nie zostanie naruszony stopie┼ä ochrony os├│b fizycznych zagwarantowany przez RODO.

Transfer ten mo┼╝e zosta─ç dokonany wobec tego m.in. na podstawie decyzji Komisji Europejskiej stwierdzaj─ůcy odpowiedni stopie┼ä ochrony. Na dzie┼ä dzisiejszy w stosunku do Wielkiej Brytanii taka decyzja nie zosta┼éa wydana, wobec czego oczywistym jest, i┼╝ po dokonanym BREXICIE, administratorzy i procesorzy b─Öd─ů obowi─ůzani do zapewnienia odpowiedniego poziomu zabezpiecze┼ä oraz pod zachowanym warunkiem, i┼╝ w Wielkiej Brytanii b─Öd─ů egzekwowalne prawa os├│b, kt├│rych dane dotycz─ů.

Odpowiednie zabezpieczenia, o kt├│rych mowa powy┼╝ej, ┬ámo┼╝na zapewni─ç ÔÇô bez konieczno┼Ťci uzyskania specjalnego zezwolenia ze strony organu nadzorczego ÔÇô za pomoc─ů nast─Öpuj─ůcych instrument├│w:

  • prawnie wi─ů┼╝─ůcego i egzekwowalnego instrumentu mi─Ödzy organami lub podmiotami publicznymi;
  • wi─ů┼╝─ůcych regu┼é korporacyjnych zgodnie z art. 47 RODO (odpowiednie polityki ochrony danych osobowych);
  • standardowych klauzul ochrony danych przyj─Ötych przez Komisj─Ö zgodnie z procedur─ů sprawdzaj─ůc─ů, o kt├│rej mowa w art. 93 ust. 2 RODO;
  • standardowych klauzul ochrony danych przyj─Ötych przez organ nadzorczy i zatwierdzonych przez Komisj─Ö zgodnie z procedur─ů sprawdzaj─ůc─ů, o kt├│rej mowa w art. 93 ust. 2 RODO;
  • zatwierdzonego kodeksu post─Öpowania zgodnie z art. 40 RODO wraz z wi─ů┼╝─ůcymi i egzekwowalnymi zobowi─ůzaniami administratora lub podmiotu przetwarzaj─ůcego w pa┼ästwie trzecim do zastosowania odpowiednich zabezpiecze┼ä, w tym w odniesieniu do praw os├│b, kt├│rych dane dotycz─ů;
  • zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wi─ů┼╝─ůcymi i egzekwowalnymi zobowi─ůzaniami administratora lub podmiotu przetwarzaj─ůcego w pa┼ästwie trzecim do stosowania odpowiednich zabezpiecze┼ä, w tym w odniesieniu do praw os├│b, kt├│rych dane dotycz─ů.

Ze wst─Öpnej analizy Grupy Roboczej art. 29 ds. Ochrony danych osobowych ┬áwynika jednak, ┼╝e wi─ů┼╝─ůce regu┼éy┬ákorporacyjnie zatwierdzone dotychczas przez ICO (Information Commissioner Office ÔÇô brytyjski organ nadzorczy)┬ánie pozostan─ů w mocy po wyst─ůpieniu z Unii Europejskiej, wobec czego przekazywanie i przetwarzanie danych na terytorium Wielkiej Brytanii w oparciu o art. 47 RODO nie b─Ödzie dalej mo┼╝liwe, co w spos├│b oczywsity utrudni przekazywanie danych po doj┼Ťciu BREXIT-u do skutku.

Co zatem w przypadku, gdy ┼╝adna z powy┼╝szych przes┼éanek legalizacyjnych nie zajdzie?

Mo┼╝e oczywi┼Ťcie mie─ç miejsce sytuacja, gdy przetwarzanie i przekazywanie danych na teren Wielkiej Brytanii na podstawie wy┼╝ej wymienionych przes┼éanek nie b─Ödzie mia┼éo miejsca.┬á Wtedy zgodnie z art. 49 ust. 1 RODO, jednorazowe lub wielokrotne przekazanie danych osobowych do pa┼ästwa trzeciego (lub organizacji mi─Ödzynarodowej) przez administrator├│w oraz procesor├│w mo┼╝e nast─ůpi─ç tylko pod warunkiem, ┼╝e:

  • osoba, kt├│rej dane dotycz─ů, poinformowana o ewentualnym ryzyku, z kt├│rym ÔÇô ze wzgl─Ödu na brak decyzji stwierdzaj─ůcej odpowiedni stopie┼ä ochrony oraz na brak odpowiednich zabezpiecze┼ä ÔÇô mo┼╝e si─Ö dla niej wi─ůza─ç proponowane przekazanie, jednoznacznie i dobrowolnie wyrazi┼éa na nie zgod─Ö;
  • przekazanie jest niezb─Ödne do wykonania umowy mi─Ödzy osob─ů, kt├│rej dane dotycz─ů, a administratorem lub do wprowadzenia w ┼╝ycie ┼Ťrodk├│w przed umownych podejmowanych na polecenie osoby, kt├│rej dane dotycz─ů;
  • przekazanie jest konieczne do zawarcia lub wykonania umowy zawartej w interesie osoby, kt├│rych dane dotycz─ů, mi─Ödzy administratorem a inn─ů osob─ů fizyczn─ů lub prawn─ů;
  • przekazanie jest konieczne ze wzgl─Ödu na wa┼╝ne wzgl─Ödy interesu publicznego;
  • przekazanie jest konieczne do ustalenia, dochodzenia lub ochrony roszcze┼ä;
  • przekazanie jest konieczne do ochrony ┼╝ywotnych interes├│w osoby, kt├│rych dane dotycz─ů, lub innych os├│b, je┼╝eli osoba, kt├│rej dane dotycz─ů, jest fizycznie lub prawnie niezdolna do wyra┼╝enia zgody; lub
  • przekazanie nast─Öpuje z rejestru, kt├│ry zgodnie z prawem Unii lub prawem pa┼ästwa cz┼éonkowskiego ma s┼éu┼╝y─ç za ┼║r├│d┼éo informacji dla og├│┼éu obywateli i kt├│ry jest dost─Öpny dla og├│┼éu obywateli lub dla ka┼╝dej osoby mog─ůcej wykaza─ç prawnie uzasadniony interes ÔÇô ale jedynie w zakresie, w jakim w danym przypadku spe┼énione zosta┼éy warunki takiego dost─Öpu okre┼Ťlone w prawie Unii lub w prawie pa┼ästwa cz┼éonkowskiego.

Je┼╝eli jednak przekazanie danych nie b─Ödzie mog┼éo si─Ö opiera─ç na art. 45 ani 46 RODO, w tym na przepisach dotycz─ůcych wi─ů┼╝─ůcych regu┼é korporacyjnych, i nie ma zastosowania ┼╝aden z wyj─ůtk├│w maj─ůcych zastosowanie w szczeg├│lnych sytuacjach opisanych powy┼╝ej, przekazanie do pa┼ästwa trzeciego mo┼╝e nast─ůpi─ç jedynie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby os├│b, kt├│rych dane dotycz─ů, jest konieczne ze wzgl─Ödu na wa┼╝ne prawnie uzasadnione interesy realizowane przez administratora, wobec kt├│rych charakteru nadrz─Ödnego nie maj─ů interesy ani prawa i wolno┼Ťci osoby, kt├│rej dane dotycz─ů a administrator oceni┼é wszystkie okoliczno┼Ťci przekazania danych i na podstawie tej oceny zapewni┼é odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. ┬áCo wi─Öcej, administrator jest zobowi─ůzany do poinformowania organu nadzorczego o takim przekazaniu, co wynika wprost z Motywu 113 RODO. Co wi─Öcej, poza informacjami, o kt├│rych mowa w art. 13 i 14 RODO, administrator podaje osobie, kt├│rej dane dotycz─ů, tak┼╝e informacje o przekazaniu i o wa┼╝nych prawnie uzasadnionych interesach realizowanych przez niego.

Jakie kroki powinien wobec tego podj─ů─ç przedsi─Öbiorca, kt├│ry w ramach swojej dzia┼éalno┼Ťci przekazuje dane osobowe na terytorium Wielkiej Brytanii?

Zalecane jest, aby w celu optymalnego przygotowania na nieuchronne zmiany, administratorzy danych lub podmioty przetwarzaj─ůce dane przekazywane do Wielkiej Brytanii, zidentyfikowali, jakie dane, w jakich celach i na jakiej podstawie prawnej przekazuj─ů obecnie do Wielkiej Brytanii. Dalej nale┼╝y ustali─ç, czy po opuszczeniu Unii Europejskiej przez Wielk─ů Brytani─Ö dalej konieczne b─Ödzie przekazywanie tam danych osobowych os├│b fizycznych.

Je┼╝eli taki, nale┼╝y uzupe┼éni─ç dotychczasowe klauzule informacyjne (tzw. Obowi─ůzki informacyjne z art. 13 i 14 RODO) o informacj─Ö o przekazywaniu danych poza obszar nie tylko Unii Europejskiej, ale tak┼╝e Europejskiego Obszaru Gospodarczego.

Koniecznym tak┼╝e b─Ödzie odpowiednie uzupe┼énienie rejestr├│w czynno┼Ťci przetwarzania o informacj─Ö o przekazywaniu poza EOG, jak i o informacje o ┼Ťrodkach zabezpieczenia stosowanych w Wielkiej Brytanii.

Polecamy tak┼╝e ci─ůgle monitorowanie kwestii wydania decyzji przez Komisj─Ö Europejsk─ů stwierdzaj─ůcej odpowiedni stopie┼ä ochrony, a niezale┼╝nie od tego ÔÇô tak┼╝e innych instrument├│w uprawniaj─ůcych do przekazywania danych osobowych na terytorium pa┼ästwa trzeciego (na nowo zatwierdzone wi─ů┼╝─ůce regu┼éy korporacyjne czy tez certyfikowane kodeksy post─Öpowania).

Podsumowuj─ůc niniejszy artyku┼é nie spos├│b nie nawi─ůza─ç do ci─ůg┼éych zawirowa┼ä wok├│┼é sposobu wyj┼Ťcia Wielkiej Brytanii z UE. Bior─ůc pod uwag─Ö regulacje RODO, nie by┼éoby bowiem problemu w przypadku wynegocjowania porozumienia, jako i┼╝ dwuletni okres przej┼Ťciowy da┼éby Komisji czas na wydanie odpowiedniej decyzji umo┼╝liwiaj─ůcej przekazywanie danych pomi─Ödzy pa┼ästwami Unii a Wielk─ů Brytani─ů.

Jednak┼╝e┬á tzw. ÔÇ×twarde wyst─ůpienieÔÇŁ z UE (na kt├│re niestety si─Ö zanosi) niechybnie spowoduje, i┼╝ przez co najmniej kilka miesi─Öcy przedsi─Öbiorstwa b─Öd─ů musia┼éy sobie jednak radzi─ç bez oficjalnej decyzji Komisji Europejskiej, na podstawie m.in. przedstawionych w artykule przes┼éanek legalizuj─ůcych transfer.

Anna Sznycer-Klein, radca prawny

Tags: