Czy BREXIT wpłynie na transfer danych osobowych do Wielkiej Brytanii?
Wraz ze zbliżającym się terminem wystąpienia Wielkiej Brytanii z Unii Europejskiej, pojawia się coraz więcej wątpliwości co do przepływu danych osobowych pomiędzy Wielką Brytanią a krajami UE. Rezultat trwających obecnie negocjacji w sprawie umownego uregulowania brexitu jest wciąż niepewny i przedsiębiorcy muszą być gotowi na to, że może nie udać się wypracować satysfakcjonującego dla obu stron porozumienia.
Od 30 marca 2019 roku Wielka Brytania przestanie być członkiem UE i stanie się państwem trzecim w rozumieniu RODO. Oznacza to, że transfer danych do Wielkiej Brytanii będzie wymagał wdrożenia odpowiednich środków bezpieczeństwa tak jak np. obecnie transfer danych do Rosji czy Chin. Rozwiązaniem tej sytuacji byłoby uchwalenie przez Komisję Europejską tzw. decyzji adekwatności wobec Wielkiej Brytanii, potwierdzającej zapewnienie przez nią odpowiedniego poziomu ochrony danych. Na obecnym etapie negocjacji nie wiadomo jednak, czy uda się wdrożyć odpowiednie rozwiązania przed brexitem i jaki kształt przyjmie ostatecznie brexit deal. Warto już teraz przygotować się na każdy scenariusz, by zapewnić płynne przekazywanie danych osobowych do Wielkiej Brytanii niezależnie od wyniku negocjacji.
Zgodnie z art. 46 ust. 1 RODO, podmiot, który decyduje się na transfer danych osobowych do państwa trzeciego czy też organizacji międzynarodowej, zobowiązany jest zapewnić odpowiednie środki ochrony, które mają na celu zapewnić pożądany poziom bezpieczeństwa danych osobowych. RODO w art. 46 przewiduje w tym celu szereg środków, z których część wymaga uzyskania zgody organu nadzorczego a część może być wdrożona bezpośrednio na mocy porozumienia między podmiotami.
Podmioty masowo przetwarzające dane osobowe w ramach grupy kapitałowej mogą zdecydować się na przyjęcie wiążących reguł korporacyjnych (BCR). Proces wprowadzenia takich reguł jest jednak czasochłonny i wymaga uzyskania zatwierdzenia ich treści przez organ nadzorczy. Przedsiębiorcy przetwarzający dane osobowe systemowo, zwłaszcza w ramach usług outsourcingu, mogą posłużyć się standardowymi klauzulami ochrony danych (SCC) przyjętymi przez Komisję Europejską (zarówno w relacjach administrator – podmiot przetwarzający jak i administrator – administrator). Mogą być one integralną częścią umowy o świadczenie usług lub odrębnym dokumentem regulującym kwestię przesyłu danych. Projekt wdrożenia takiej umowy może być przygotowany wcześniej i wykorzystany w marcu 2019 roku, jeżeli zajdzie taka potrzeba.
Podstawa prawna
Obecnie obowiązują trzy decyzje Komisji Europejskiej zatwierdzające standardowe klauzule umowne:
- decyzja o przyjęciu SCC nr 2001/497/WE,
- decyzja o przyjęciu SCC nr 2004/915/WE,
- decyzja o przyjęciu SCC nr 2010/87/UE.
Wybór odpowiedniego zestawu klauzul zależy od roli stron umowy w przetwarzaniu danych osobowych a także indywidualnych potrzeb stron. Standardowe klauzule umowne mogą być uzupełnione o dodatkowe postanowienia, o ile nie będą one stały w sprzeczności z treścią klauzul i nie będą osłabiać ich postanowień.
W przypadku gdy nie zostanie wydana decyzja o adekwatności wobec Wielkiej Brytanii a przedsiębiorca nie zapewni odpowiednich środków ochrony danych np. w postaci SCC lub BCR, przekazanie danych osobowych będzie mogło nastąpić jedynie wyjątkowo, na zasadach wskazanych w art. 49 RODO na przykład gdy:
- podmiot danych poinformowany o istniejących zagrożeniach i braku adekwatnych środków ochrony wyrazi na to zgodę,
- gdy jest to niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną,
- gdy jest to niezbędne do dochodzenia lub ochrony roszczeń.
Jeżeli przekazują Państwo dane osobowe do Wielkiej Brytanii lub planują taką działalność w najbliższej przyszłości, zalecamy już teraz przygotować się na możliwe zmiany w sposobie transferu. Nasza Kancelaria pomoże wybrać rozwiązanie dostosowane do Państwa indywidualnych potrzeb.
