Gotowi na Brexit? Konsekwencje przekazywania danych z polskich firm do Wielkiej Brytanii.

Zgodnie z art. 50 traktatu o UE, z początkiem kwietnia 2019 roku Wielka Brytania nie będzie już państwem członkowskim Unii Europejskiej. W licznych dyskusjach poświęconych tematyce Brexitu niejednokrotnie zapomina się, że ta sytuacja będzie miała istotne znaczenie dla stosowania przepisów RODO i przepływu danych osobowych z UE do Wielkiej Brytanii. Coraz bardziej realna jest możliwość niepodpisania umowy międzynarodowej, która regulowała by tę kwestię. Kilka dni temu prezes Urzędu Ochrony Danych Osobowych Edyta Bielak-Jomaa wyjaśniła, jak właściciele polskich firm powinni przygotować się na Brexit oraz jakie konsekwencje dla polskich administratorów danych i podmiotów je przetwarzających są z tym związane.

Najbliższe terminy szkoleń

Transfer danych w obrębie EOG

Aktualnie polskie firmy nie są związane żadnymi wymogami w zakresie transgranicznego przekazywania danych osobowych do Wielkiej Brytanii. Wystarczy, że spełnione zostaną warunki legalności przekazywania danych i wynikających z nich obowiązków. Transfery danych w obrębie Unii Europejskiej korzystają z zasady swobodnego przepływu danych. Zgodnie z nią przekazywanie danych z Polski do innych państw Europejskiego Obszaru Gospodarczego jest traktowane tak samo, jakby miało miejsce na terenie Polski. Podstawą prawną do przekazywania danych, w zależności od sytuacji może być np. umowa o powierzenie przetwarzania danych osobowych, przepis prawa nakładający na administratora obowiązek przekazywania danych lub też uzasadniony interes administratora danych lub osoby trzeciej.

Wielka Brytania państwem trzecim

Od 30 marca br. Wielka Brytania w rozumieniu RODO będzie traktowana jako państwo trzecie, co będzie miało znaczące skutki w kwestii przetwarzania danych osobowych. Oznacza to, że wszystkie transfery danych do tego państwa muszą spełniać dodatkowe wymogi dotyczące przekazywania danych do państw trzecich lub organizacji międzynarodowych, które zostały określone w rozdziale V RODO.

W jaki sposób Polskie firmy powinny przygotować się na nadchodzące zmiany?

W celu zapewnienia legalności transferów danych do Wielkiej Brytanii w nowym stanie prawnym, polscy przedsiębiorcy muszą się do tego wcześniej przygotować. Przed 30 marca, każdy administrator danych lub podmiot przetwarzający obecnie przekazujący dane do Wielkiej Brytanii, powinien:

  • zidentyfikować rodzaj, cel i podstawę prawną przekazywania danych do Wielkiej Brytanii;
  • podjąć decyzje, czy po 29 marca będzie kontynuować te transfery;
  • dokonać wyboru, a następnie wdrożenia odpowiednich mechanizmów umożliwiających przekazywanie danych;
  • w razie potrzeby zmodyfikować wewnętrzną dokumentację przetwarzania danych oraz istniejące wiążące reguły korporacyjne;
  • śledzić na bieżąco informacje związane z wyjściem Wielkiej Brytanii z UE, gdyż nie jest jeszcze pewne na jakich zasadach to nastąpi, co może mieć wpływ na obowiązki związane z transferem danych.

Przekazywanie danych do Państwa trzeciego

Przekazywanie danych do państwa trzeciego może mieć miejsce, gdy Komisja Europejska stwierdzi, że to państwo zapewnia odpowiedni poziom ochrony danych osobowych. W ramach państw objętych taką decyzją przekazanie danych jest dopuszczalne bez konieczności podejmowania dodatkowych działań. Do czasu wydania przez KE stosownej decyzji w kwestii Wielkiej Brytanii należy sprawdzić alternatywne rozwiązania, które umożliwią przekazywanie danych. Przedsiębiorcy w pierwszej kolejności powinni pomyśleć o zastosowaniu standardowych klauzul umownych ochrony danych, które zostały zatwierdzone przez KE. Obecnie obowiązują trzy decyzje Komisji Europejskiej:

Decyzja 2001/497/WE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE;

Decyzja 2004/915/WE zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich;

Decyzja 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, która umożliwia przekazywanie danych w ramach ich powierzenia.

Międzynarodowe grupy kapitałowe mogą także skorzystać z wiążących reguł korporacyjnych, które zostały wcześniej zatwierdzone przez GIODO, bądź jeden z organów ochrony danych osobowych z państw członkowskich UE w ramach przewidzianej przez RODO procedury spójności. Dotychczas wiążące reguły korporacyjne należy zmodyfikować umieszczając importerów danych z Wielkiej Brytanii w grupie państw trzecich. W ramach art. 49 RODO przekazywanie danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony lub gdy nie zapewniono odpowiednich zabezpieczeń takich, jak standardowe klauzule umowne, czy wiążące reguły korporacyjne jest możliwe w szczególnych sytuacjach zawartych w treści rozporządzenia. W stosunku do przedsiębiorców świadczących swoje usługi z Wielkiej Brytanii nadal będzie się stosować RODO, bowiem ma ono zastosowanie także do przetwarzania danych dotyczących osób przebywających w Unii Europejskiej przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii. Warunkiem jest to, aby czynności te związane były z oferowaniem towarów, czy usług lub monitorowaniem ich zachowania, o ile dochodzi do niego na terenie Unii. Przedsiębiorcy Ci zobowiązani są wskazać w formie pisemnej swojego przedstawiciela w UE, w tym państwie członkowskim, w którym przebywają osoby, których dane dotyczą, tj. których dane osobowe są przetwarzane w związku z oferowaniem im towarów lub usług, których zachowanie jest monitorowane.

Nie dotyczy to sytuacji, w których operacje przetwarzania, mają charakter sporadyczny, skala przetwarzanych danych szczególnych kategorii nie jest duża, przetwarzanie danych osobowych dotyczy wyroków skazujących i czynów zabronionych oraz jeżeli jest mało prawdopodobne, aby przetwarzanie ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych.

Jeśli chcieliby Państwo skorzystać z wsparcia naszych wykwalifikowanych konsultantów ds. ochrony danych osobowych, zapraszamy do kontaktu przez formularz kontaktowy

Katarzyna Żuk 
konsultant ds. ochrony danych osobowych w PBSG

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

Katarzyna Żuk
Absolwentka prawa na Wydziale Prawa i Administracji Uniwersytetu im. Adama Mickiewicza w Poznaniu oraz dziennikarstwa i komunikacji społecznej w Wyższej Szkole Umiejętności Społecznych w Poznaniu. Pracowała w kancelariach specjalizujących się w obsłudze prawnej podmiotów gospodarczych, w szczególności w sprawach z zakresu szeroko rozumianego prawa cywilnego, prawa pracy i ubezpieczeń społecznych, czy też prawa spółek handlowych. Członek Okręgowej Izby Radców Prawnych w Poznaniu. Od kilku lat z sukcesem wykorzystuje zdobyte doświadczenie biznesowe i wiedzę w pracy konsultanta ds. ochrony danych osobowych. Prywatnie miłośniczka muzyki i pasjonatka dobrej kuchni.