Aktualności prawne

BREXIT a przepisy RODO

Wystąpienie Wielkiej Brytanii z Unii Europejskiej (tzw. BREXIT) budzi ogromne emocje, gdyż im bliżej do tej granicznej daty, w przypadku bezumownego wyjścia z Unii Europejskiej, w świetle przepisów rozporządzenia 2016/679 z 27 kwietnia 2016 r. (RODO) Wielka Brytania stanie się tzw. „państwem trzecim”, a co więcej – opuści także tzw. Europejski Obszar Gospodarczy.

Co Brexit oznacza dla ochrony danych osobowych i ich transferu na terytorium Wielkiej Brytanii?

Przypomnieć przede wszystkim należy, iż zgodnie z rozdziałem V RODO, przekazanie danych osobowych do państwa trzeciego może nastąpić tylko pod warunkiem, że administrator lub procesor przy takim przekazaniu zapewnią, że nie zostanie naruszony stopień ochrony osób fizycznych zagwarantowany przez RODO.

Transfer ten może zostać dokonany wobec tego m.in. na podstawie decyzji Komisji Europejskiej stwierdzający odpowiedni stopień ochrony. Na dzień dzisiejszy w stosunku do Wielkiej Brytanii taka decyzja nie została wydana, wobec czego oczywistym jest, iż po dokonanym BREXICIE, administratorzy i procesorzy będą obowiązani do zapewnienia odpowiedniego poziomu zabezpieczeń oraz pod zachowanym warunkiem, iż w Wielkiej Brytanii będą egzekwowalne prawa osób, których dane dotyczą.

Odpowiednie zabezpieczenia, o których mowa powyżej,  można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą następujących instrumentów:

  • prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
  • wiążących reguł korporacyjnych zgodnie z art. 47 RODO (odpowiednie polityki ochrony danych osobowych);
  • standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
  • standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
  • zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do zastosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;
  • zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Ze wstępnej analizy Grupy Roboczej art. 29 ds. Ochrony danych osobowych  wynika jednak, że wiążące reguły korporacyjnie zatwierdzone dotychczas przez ICO (Information Commissioner Office – brytyjski organ nadzorczy) nie pozostaną w mocy po wystąpieniu z Unii Europejskiej, wobec czego przekazywanie i przetwarzanie danych na terytorium Wielkiej Brytanii w oparciu o art. 47 RODO nie będzie dalej możliwe, co w sposób oczywsity utrudni przekazywanie danych po dojściu BREXIT-u do skutku.

Co zatem w przypadku, gdy żadna z powyższych przesłanek legalizacyjnych nie zajdzie?

Może oczywiście mieć miejsce sytuacja, gdy przetwarzanie i przekazywanie danych na teren Wielkiej Brytanii na podstawie wyżej wymienionych przesłanek nie będzie miało miejsca.  Wtedy zgodnie z art. 49 ust. 1 RODO, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego (lub organizacji międzynarodowej) przez administratorów oraz procesorów może nastąpić tylko pod warunkiem, że:

  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, jednoznacznie i dobrowolnie wyraziła na nie zgodę;
  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przed umownych podejmowanych na polecenie osoby, której dane dotyczą;
  • przekazanie jest konieczne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • przekazanie jest konieczne ze względu na ważne względy interesu publicznego;
  • przekazanie jest konieczne do ustalenia, dochodzenia lub ochrony roszczeń;
  • przekazanie jest konieczne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale jedynie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Jeżeli jednak przekazanie danych nie będzie mogło się opierać na art. 45 ani 46 RODO, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania żaden z wyjątków mających zastosowanie w szczególnych sytuacjach opisanych powyżej, przekazanie do państwa trzeciego może nastąpić jedynie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest konieczne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.  Co więcej, administrator jest zobowiązany do poinformowania organu nadzorczego o takim przekazaniu, co wynika wprost z Motywu 113 RODO. Co więcej, poza informacjami, o których mowa w art. 13 i 14 RODO, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

Jakie kroki powinien wobec tego podjąć przedsiębiorca, który w ramach swojej działalności przekazuje dane osobowe na terytorium Wielkiej Brytanii?

Zalecane jest, aby w celu optymalnego przygotowania na nieuchronne zmiany, administratorzy danych lub podmioty przetwarzające dane przekazywane do Wielkiej Brytanii, zidentyfikowali, jakie dane, w jakich celach i na jakiej podstawie prawnej przekazują obecnie do Wielkiej Brytanii. Dalej należy ustalić, czy po opuszczeniu Unii Europejskiej przez Wielką Brytanię dalej konieczne będzie przekazywanie tam danych osobowych osób fizycznych.

Jeżeli taki, należy uzupełnić dotychczasowe klauzule informacyjne (tzw. Obowiązki informacyjne z art. 13 i 14 RODO) o informację o przekazywaniu danych poza obszar nie tylko Unii Europejskiej, ale także Europejskiego Obszaru Gospodarczego.

Koniecznym także będzie odpowiednie uzupełnienie rejestrów czynności przetwarzania o informację o przekazywaniu poza EOG, jak i o informacje o środkach zabezpieczenia stosowanych w Wielkiej Brytanii.

Polecamy także ciągle monitorowanie kwestii wydania decyzji przez Komisję Europejską stwierdzającej odpowiedni stopień ochrony, a niezależnie od tego – także innych instrumentów uprawniających do przekazywania danych osobowych na terytorium państwa trzeciego (na nowo zatwierdzone wiążące reguły korporacyjne czy tez certyfikowane kodeksy postępowania).

Podsumowując niniejszy artykuł nie sposób nie nawiązać do ciągłych zawirowań wokół sposobu wyjścia Wielkiej Brytanii z UE. Biorąc pod uwagę regulacje RODO, nie byłoby bowiem problemu w przypadku wynegocjowania porozumienia, jako iż dwuletni okres przejściowy dałby Komisji czas na wydanie odpowiedniej decyzji umożliwiającej przekazywanie danych pomiędzy państwami Unii a Wielką Brytanią.

Jednakże  tzw. „twarde wystąpienie” z UE (na które niestety się zanosi) niechybnie spowoduje, iż przez co najmniej kilka miesięcy przedsiębiorstwa będą musiały sobie jednak radzić bez oficjalnej decyzji Komisji Europejskiej, na podstawie m.in. przedstawionych w artykule przesłanek legalizujących transfer.

Anna Sznycer-Klein, radca prawny

MGS LAW London Brexit Rodo
Ranking Kancelarii Prawniczych 2022 Rzeczpospolita MGS LAW
O Nas

Awans MGS LAW w rankingu ogólnopolskim „Rzeczpospolitej”

MGS LAW po raz kolejny w pierwszej piątce kancelarii na Pomorzu wg Rankingu Kancelarii Prawniczych “Rzeczpospolitej”. Awans o aż 6 miejsc w rankingu ogólnopolskim wg kryterium liczby prawników (na 69. miejsce) to sukces, którym warto się podzielić! MGS LAW plasuje się również na wysokim, 64. miejscu w rankingu ogólnopolskim wg kryterium liczby radców prawnych i adwokatów i nadal znajduje się w czołówce największych

Czytaj więcej »
Newsletter

Newsletter prawny i gospodarczy MGS LAW – maj 2022 r.

Zmiany w prawie, nowelizacje kodeksów i ustaw – informacje zebrane z końcem maja 2022 r. Newsletter prawny i gospodarczy przygotowany przez Zespół Kancelarii MGS LAW to syntetyczne informacje na temat zmian w prawie i aktualnego orzecznictwa. PRAWO ENERGETYCZNE W Łebie powstanie port serwisowy morskiej farmy wiatrowej Baltic Power Rozpoczęły się prace projektowe dotyczące budowy linii elektroenergetycznej

Czytaj więcej »
Newsletter

Newsletter prawny i gospodarczy MGS LAW – kwiecień 2022 r.

Zmiany w prawie, nowelizacje kodeksów i ustaw- informacje zebrane z końcem kwietnia 2022 r. Znajdziecie tu Państwo wiadomości zawierające aktualne i planowane zmiany w prawie, nowelizacje ustaw i kodeksów. Poinformujemy tu o nowych przepisach, które właśnie weszły w życie. Newsletter prawny i gospodarczy przygotowany przez Zespół Kancelarii MGS LAW to opracowanie i streszczenie zmian obejmujących następującą tematykę, w tym miesiącu skoncentrowaną

Czytaj więcej »