Brexit a RODO

Jednym z najistotniejszych wydarzeń roku 2019 bez wątpienia będzie brexit. Utrata przez Wielką Brytanię statusu państwa członkowskiego Unii Europejskiej wywoła skutki na płaszczyźnie prawa ochrony danych osobowych, albowiem od 30 marca 2019 r. przekazywanie danych osobowych do tego państwa stanie się najprawdopodobniej przedmiotem szczególnych obostrzeń, na co uwagę zwrócić winni administratorzy danych i procesorzy współpracujący z brytyjskimi podmiotami.

Wszystko wskazuje na to, że Wielka Brytania wystąpi z Unii Europejskiej bez zawarcia umowy międzynarodowej regulującej szereg kwestii gospodarczych, w tym kwestii przepływu danych osobowych pomiędzy UE (gdzie obowiązywać nadal będzie RODO) a Zjednoczonym Królestwem. Czasu na wypracowanie takiego porozumienia nie zostało wiele, bowiem brexit stanie się faktem z dniem 30 marca 2019 r. W związku z tym Prezes Urzędu Ochrony Danych Osobowych podjął starania zmierzające do udzielenia polskim przedsiębiorcom wskazówek na wypadek zaistnienia tzw. twardego brexitu. Jeśli Wielka Brytania opuści UE bez jakiegokolwiek porozumienia, to niemal z dnia na dzień na jej terytorium przestaną obowiązywać przepisy RODO. Z punktu widzenia samego rozporządzenia nr 2016/679 Wielka Brytania stanie się państwem trzecim, do którego transfer danych osobowych zyska przymiot podwyższonego ryzyka, co z kolei wiązać się będzie z koniecznością uregulowania przepływu danych na nowo.

Zarówno polscy przedsiębiorcy, jak i podmioty publiczne muszą się do tego wcześniej przygotować tak, aby zapewnić legalność transferów danych do Wielkiej Brytanii w nowym stanie prawnym, który będzie obowiązywał od 30 marca 2019 r.

W związku z nadchodzącymi zmianami każdy administrator danych lub podmiot przetwarzający, powinien:

  1. ustalić czy dokonuje transferu danych osobowych do Wielkiej Brytanii, a jeśli tak, to jakie dane, w jakich celach i na jakiej podstawie prawnej są obecnie przekazywane do Wielkiej Brytanii;
  2. zdecydować, czy te transfery będą kontynuowane po 29 marca 2019 r.;
  3. wybrać właściwą podstawę prawną umożliwiającą przekazywanie danych do państwa trzeciego jakim stanie się Wielka Brytania;
  4. zmodyfikować wewnętrzną dokumentację prowadzoną na potrzeby ochrony danych osobowych, a w szczególności rejestr czynności przetwarzania;
  5. opracować na nowo klauzule informacyjne z uwzględnieniem transferu danych poza obszar UE poprzez wskazanie podmiotów, które są adresatem transferu i podstawy prawnej przekazania danych.

Ze względu na fakt, iż nie ma póki co pewności odnośnie warunków, na jakich dokonany zostanie brexit, należy monitorować informacje dotyczące przebiegu procesu wyjścia Wielkiej Brytanii z UE. Nie jest bowiem wykluczone, że najbliższe dwa miesiące przyniosą porozumienie, które ureguluje powyższe zmiany na szczególnych zasadach.

Aktualizacja 01 lipca 2021 r.

Komisja Europejska wydała 28 czerwca 2021 r. decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych przez Zjednoczone Królestwo. Decyzja ta ma kolosalne znacznie, umożliwia bowiem transfer danych osobowych do Zjednoczonego Królestwa bez konieczności stosowania dodatkowych zabezpieczeń, takich jak np. standardowe klauzule umowne. Co ciekawe, decyzja wydana została na 4 lata i już bezpośrednio po jej wydaniu spotkać można było opinie, że będzie ona kwestionowana przed TSUE. Nie chodzi tu co prawda o to, że Zjednoczone Królestwo nie podchodzi poważnie do ochrony danych osobowych, można wręcz stwierdzić, że tamtejszy organ nadzorczy (ICO) był jednym z wiodących na poziomie całej Unii Europejskiej. Głównym problemem jest natomiast uczestnictwo Zjednoczonego Królestwa w tzw. sojuszu pięciorga oczu, a więc sojuszu USA, UK, Kanady, Australii i Nowej Zelandii, zakładającym ścisłą wymianę wywiadowczą pomiędzy tymi państwami. Jak wiadomo, TSUE stoi na stanowisko, że uprawnienia służb wywiadowczych USA ingerują w nieakceptowalny sposób w prywatność jednostki, także dzielenie się danymi osobowymi z wywiadem amerykańskim jest problematyczne. Nie zmienia to jednak faktu, że zarówno Kanada, jak i Nowa Zelandia, od dawna uznawane są za państwa zapewniające adekwatny poziom ochrony danych osobowych i decyzje Komisji Europejskiej stwierdzające odpowiedni stopień ochrony danych osobowych przez te kraje nie zostały jak dotąd unieważnione. W przeciwieństwie do Kanady i Nowej Zelandii, USA oraz Australia nie są przez Komisję Europejską uznawane za bezpieczne pod kątem ochrony danych osobowych i transfer danych osobowych do tych państw wymaga stosowania dodatkowych zabezpieczeń, czasem może być wręcz całkowicie wykluczony.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Kary pieniężne wynikające z RODO.

Bezpieczeństwo przetwarzanych danych.

Zasady RODO.

Zasada rozliczalności.

Wdrożenie RODO.

RODO - podstawowe informacje.

Kontrola zgodności z RODO.

Powierzenie przetwarzania danych osobowych.

Data publikacji: 22.01.2019.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz