Brexit: Czy przekazywanie danych do Wielkiej Brytanii będzie nadal możliwe?

23 stycznia 2019 |

Na to pytanie odpowiedziała Prezes UODO Edyta Bielak–Jomaa w ramach briefingu prasowego, który miał miejsce 17 stycznia tego roku [1]. Swoje stanowisko wyraził także Dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji dr Maciej Kawecki, podczas rozmowy dla Rzeczpospolita TV [2]. Wnioski  z obu wystąpień prezentujemy w dzisiejszym artykule.

 

 

29 marca 2019 r.

 

Do tej daty przekazywanie danych do Wielkiej Brytanii będzie odbywało według dotychczasowych zasad. Począwszy od dnia następnego po tej dacie Wielka Brytania (prawdopodobnie) będzie państwem trzecim w rozumieniu RODO. Z dużym prawdopodobieństwem wyjście Wielkiej Brytanii z Unii Europejskiej nastąpi bowiem w ramach tzw. „twardego brexitu”, bez umowy międzynarodowej regulującej te kwestie i bez statusu członka Europejskiego Obszaru Gospodarczego.

 

Co to oznacza?

 

Przekazywanie danych do państw trzecich jest możliwe, o czym pisaliśmy już na łamach Bloga w ramach artykułu Przesyłanie danych do państw trzecich nadal możliwe (?). Zasady te wynikają wprost z RODO i w zasadzie zostały one zaprezentowane przez Prezesa UODO  Edytę Bielak–Jomaa oraz dr Macieja Kaweckiego. Podkreślenia i przypomnienia wymaga jednakże fakt, iż transfer danych do państw trzecich, choć jest możliwy, to jednak jest obwarowany przewidzianymi przez RODO obostrzeniami. Najlepszym rozwiązaniem, gwarantującym pewną możliwość przekazywania danych do Wielkiej Brytanii byłoby wydanie decyzji Komisji Europejskiej stwierdzającej, iż Wyspy Brytyjskie zapewniają odpowiedni stopień ochrony. Jak podkreślił jednakże Prezes UDODO  Edyta Bielak–Jomaa oraz dr Maciej Kawecki, w chwili obecnej wydanie takiej decyzji nie jest możliwe – Wielka Brytania nadal jest członkiem Unii Europejskiej, a decyzja taka może być wydana wyłącznie wobec państwa będącego państwem trzecim w rozumieniu RODO. Na ewentualną decyzję przyjdzie zatem poczekać. Dr Maciej Kawecki słusznie jednakże wskazał, iż brak takiej decyzji nie sparaliżuje możliwości przekazywania danych do Wielkiej Brytanii po 29 marca 2019 r. RODO przewiduje bowiem wiele innych podstaw umożliwiających transfer danych do państw trzecich. Oprócz decyzji Komisji Europejskiej, taki transfer jest bowiem możliwy przy zastosowaniu innych instrumentów wskazanych w RODO, m.in. wiążących reguł korporacyjnych czy standardowych klauzul ochrony danych.

 

Wiążące reguły korporacyjne

 

Międzynarodowe grupy kapitałowe mogą skorzystać z wiążących reguł korporacyjnych, które zostały wcześniej zatwierdzone przez GIODO, bądź jeden z organów ochrony danych osobowych z państw członkowskich Unii Europejskiej w ramach przewidzianej przez RODO procedury spójności. Należy jednak pamiętać, że dotychczasowe wiążące reguły korporacyjne będą musiały zostać zmodyfikowane poprzez umieszczenie importerów danych z Wielkiej Brytanii w grupie państw trzecich.

 

Standardowe klauzule ochrony danych

 

Znaleźć je możemy w obecnie obowiązujących trzech decyzjach Komisji Europejskiej:

 

1)  decyzji 2001/497/WE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE. Treść decyzji dostępny jest online w Dzienniku Urzędowym UE [3]. 

 

2)  decyzji 2004/915/WE zmieniającej decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich. Tekst dostępny jest online w Dzienniku Urzędowym UE [4].

 

3) decyzji 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, która umożliwia przekazywanie danych w ramach ich powierzenia. Tekst decyzji jest dostępny online w Dzienniku Urzędowym UE [5]. 

 

Szczególne przypadki

 

RODO dopuszcza przekazywanie danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony lub gdy nie zapewniono odpowiednich zabezpieczeń jak standardowe klauzule umowne, czy wiążące reguły korporacyjne. Jest to możliwe w szczególnych sytuacjach. Mowa o nich w art. 49 RODO. Szczegółowa lista takich przypadków została przez nas wymieniona we wcześniejszym wskazanym powyżej artykule Przesyłanie danych do państw trzecich nadal możliwe (?). Na szczególną uwagę zasługuje słusznie wymieniony przez dr Macieja Kaweckiego jeden z przypadków – wykonanie umowy. W wielu przypadkach bowiem będzie to przypadek uzasadniający transfer danych, np. w celu wykonania umowy o usługi turystyczne. W takim przypadku nie ulega wątpliwości, iż przekazanie niezbędnych dla wykonania umowy danych powinno być bezapelacyjnie możliwe.

 

Prezes UODO apeluje

 

Mimo, iż dr Maciej Kawecki (i zresztą słusznie) apelował o zachowanie spokoju i przekonywał, iż po raz kolejny RODO to nie taki straszny twór jak go malują, Prezes UODO zwróciła uwagę na kilka istotnych aspektów związanych z przekazywaniem danych do Wielkiej Brytanii. W swoim wystąpieniu, którego podsumowanie zostało zawarte na stronie internetowej UODO, Prezes UODO wskazała, iż: „każdy administrator danych lub podmiot przetwarzający, którzy obecnie przekazują dane do Wielkiej Brytanii, powinien:

  • Zidentyfikować, jakie dane, w jakich celach i na jakiej podstawie prawnej są obecnie przekazywane do Wielkiej Brytanii;

  • Zdecydować, czy te transfery będą kontynuowane po 29 marca 2019 r.;

  • Wybrać i wdrożyć odpowiedni mechanizm, bądź podstawę prawną umożliwiającą przekazywanie danych;

  • W razie potrzeby zmodyfikować:

    • wewnętrzną dokumentację przetwarzania danych, w tym rejestr czynności przetwarzania,

    • klauzule informacyjne,

    • istniejące wiążące reguły korporacyjne;

  • Śledzić informacje dotyczące przebiegu procesu wyjścia Wielkiej Brytanii z UE, gdyż nie jest jeszcze pewne na jakich zasadach to nastąpi, co może mieć wpływ na obowiązki związane z transferem danych.”

 

Wystąpienie Wielkiej Brytanii z Unii Europejskiej będzie miało wpływ nie tylko w sferze gospodarczej, ale także w zakresie ochrony danych osobowych. Podzielić należy jednakże zdanie dr Macieja Kaweckiego, iż kwestia przekazywania danych do państw trzecich – podobnie jak RODO – nie jest tak skompilowanym zjawiskiem, jak na pierwszy rzut oka to się wydaje. 🙂

 

 

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie

[1] https://uodo.gov.pl/pl/138/665 

 

[2] https://www.youtube.com/watch?v=zKBFN-1Wr98&fbclid=IwAR0D4S3W-B4DNCU79ZOc0b18yNYgCf5edva_xyoZGTyX7LSszVQwcY90pXY&app=desktop 

 

[3] https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32001D0497&from=en

 

[4] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:PL:PDF 

 

[5] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:PL:PDF

 

 


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ