Po Brexicie, na mocy przepisów umowy regulującej współpracę z UE, transfer danych do Wielkiej Brytanii warunkowo nie był traktowany jako przekazywanie danych do państwa trzeciego w rozumieniu RODO. Nie wymagał on więc zastosowania dodatkowych zabezpieczeń np. standardowych klauzul umownych. Umowa przewidywała, że takie rozwiązanie będzie trwało nie dłużej niż do 30 czerwca 2021 roku.
Decyzja Komisji Europejskiej weszła w życie niemal w ostatniej chwili - dopiero 28 czerwca 2021 roku i będzie obowiązywała do dnia 27 czerwca 2025 roku. Po tym czasie decyzja może zostać wydłużona.
Co to oznacza dla administratorów danych?
brak konieczności stosowania dodatkowych zabezpieczeń
Przekazując dane osobowe do Wielkiej Brytanii nie będzie konieczne stosowanie dodatkowych środków zabezpieczeń wskazanych w art. 46 RODO (w tym wiążące reguły korporacyjne, standardowe klauzule umowne) bądź sięgania do rozwiązań wyjątkowych wskazanych w art. 49 RODO (np. uzyskania zgody na transfer danych osobowych do państwa trzeciego).
aktualizacja klauzul informacyjnych
Administratorzy przekazujący dane osobowe do Wielkiej Brytanii powinni zweryfikować swoje klauzule informacyjne i w razie potrzeby zaktualizować ich treść. Podmioty danych powinny zostać poinformowane o tym, że ich dane przekazywane są do państwa trzeciego, które zgodnie z decyzją Komisji Europejskiej zostało uznane za zapewniające adekwatny poziom ochrony danych.
weryfikacja dokumentacji dotyczącej przetwarzania danych
W rejestrze czynności przetwarzania danych osobowych, należy przejrzeć procesy, w których dochodzi do transferu danych osobowych do Wielkiej Brytanii i uzupełnić ich opis o transfer danych do państwa trzeciego.
Co to oznacza dla procesorów danych?
Procesorzy powinny zweryfikować treść umów powierzenia przetwarzania pod kątem transferu danych do państwa trzeciego, w szczególności czy uzyskali od administratorów polecenie przetwarzania danych osobowych w tej sposób, bądź czy umowa nie nakłada na nich zakazu transferu danych do państw trzecich bądź konieczności uzyskania uprzedniej zgody na taki transfer.
Które kraje trzecie zostały uznane za posiadające odpowiedni poziom ochrony danych przez Komisję Europejską?
Ostatnie kraje, wobec których Komisja Europejska wydała decyzje o zapewnianiu adekwatnego poziomu ochrony danych do Wielka Brytania i Japonia. Wcześniej takie decyzje zostały wdane wobec: Szwajcarii, Kanady (w ograniczonym zakresie), Argentyny, Guernsey, Jersey, wyspy Man, Wysp Owczych, Andory, Izraela, Urugwaju i Nowej Zelandii. Decyzja wydana wobec Stanów Zjednoczonych (Tarcza Prywatności) została uznana przez Trybnał Sprawiedliwości za nieważną w 2020 roku w sprawie Schrems II.
