preloader preloader preloader preloader preloader preloader

%

blog / COVID-19

Stara/nowa rzeczywistość po „Brexicie”, czyli co dalej z przekazywaniem danych osobowych do Wielkiej Brytanii?

10 marca, 2021
Kategoria: Na Czasie

 

Stara/nowa rzeczywistość po „Brexicie”, czyli co dalej z przekazywaniem danych osobowych do Wielkiej Brytanii?

 

Wraz z zakończeniem okresu przejściowego w dniu 31 grudnia 2020 r. Zjednoczone Królestwo Wielkiej Brytanii i Irlandii, w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako „RODO”), uzyskało status państwa trzeciego. Wydarzenie to miało być równoznaczne z zakończeniem stosowania w Wielkiej Brytanii unijnych przepisów o ochronie danych osobowych. Jednakże na skutek zawarcia w dniu 29 grudnia 2020 r. Umowy o handlu i współpracy pomiędzy Wielką Brytanią i Unią Europejską okres przejściowy został wydłużony (maksymalnie) do dnia 31 lipca 2021 r. Oznacza to, iż transfer danych osobowych do Wielkiej Brytanii nie będzie traktowany, przynajmniej na razie, jako przekazywanie danych do państwa trzeciego. Tym samym podmioty przetwarzające dane osobowe do Zjednoczonego Królestwa, takie jak np. przedsiębiorcy, czy też organy publiczne, są zobligowane jedynie do wypełniania dotychczasowych obowiązków ciążących na nich na mocy przepisów RODO – tak jakby w dalszym ciągu przekazywali dane do jednego z państw Europejskiego Obszaru Gospodarczego (państwa-członkowskie Unii Europejskiej, Norwegia, Lichtenstein oraz Islandia). Przy czym należy pamiętać, że nawet incydentalny, niepowtarzający się transfer danych osobowych, jest objęty zakresem stosowania przepisów Rozporządzenia 2016/679.

Jak będzie wyglądało przetwarzanie danych do Wielkiej Brytanii po dniu 31 lipca 2021?

Na tą chwilę ciężko przewidzieć, jakie dalsze decyzje zapadną w tej materii. Jednym ze scenariuszy wydaje się, że najbardziej optymistyczne dla przedsiębiorców dotkniętych omawianym problemem, byłoby wydanie decyzji przez Komisję Europejską, na mocy której zostanie przyznane, iż Wielka Brytania jest państwem gwarantującym odpowiedni stopień ochrony przetwarzania danych. W takim przypadku przetwarzanie nie wymagałoby specjalnego zezwolenia. To ostatnie oczywiście przy założeniu, że wydana decyzja objęłaby swoim zakresem całe terytorium Zjednoczonego Królestwa oraz każdy rodzaj transferu danych. Na przykład przed orzeczeniem TSUE w sprawie C-311/18 – Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi (tzw. Shrems II) – przekazywać dane do USA bez spełnienia dodatkowych wymogów mogły tylko amerykańskie podmioty, które zobowiązały się do przestrzegania ustalonych zasad w ramach programu „Tarcza Prywatności UE-USA” (Privacy Shiled). W przypadku wydania więc decyzji przez Komisję Europejską wysoce zalecane jest, aby każdy podmiot, który przetwarza dane do Wielkiej Brytanii, szczegółowo zapoznał się z całością dokumentu w celu zyskania pewności, że dokonywany przez niego transfer nie podlega  wyłączeniu, a tym samym czy nie będzie konieczne wdrożenie procedur przewidzianych w rozdziale V RODO (przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych).

Natomiast jeżeli Komisja Europejska stwierdzi, iż Królestwo Wielkiej Brytanii i Irlandii Północnej nie daje gwarancji odpowiedniego poziomu ochrony danych osobowych – administrator oraz podmiot przetwarzający zgodnie z art. 46 RODO będą zobligowani do wprowadzenia szeregu zabezpieczeń zapewniających ochronę przekazywanych danych (za pomocą np. wiążących reguł korporacyjnych lub standardowych klauzul ochrony danych) przy jednoczesnym uwzględnieniu obowiązujących środków ochrony prawnej oraz  egzekwowalności praw osób, których dane dotyczą. Przepisy RODO przewidują również, iż w przypadku braku decyzji Komisji Europejskiej we wskazanym zakresie lub braku odpowiednich zabezpieczeń określonych w art. 46 przetwarzanie będzie mogło odbywać się na podstawie jednego z wyjątków przewidzianych w art. 49, tj. pod warunkiem, że:

  • osoba, której dane dotyczą została poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie oraz wyraźnie wyraziła na nie zgodę;
  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem, lub do wprowadzenia w życie środków przedumownych, podejmowanych na żądanie osoby, której dane dotyczą;
  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli, i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Jak słusznie jednak przypomina Europejska Rada Ochrony Danych Osobowych w swoim oświadczeniu z dnia 15 grudnia 2020 r., dotyczącym końca okresu przejściowego, wskazany powyżej artykuł ma szczególny charakter, a zawarte w nim odstępstwa powinny być interpretowane zawężająco i co do zasady w odniesieniu do czynności przetwarzania, które występują sporadycznie.

 

Jak się przygotować na nadchodzące zmiany?

Wydaje się zatem, iż najrozsądniejszym rozwiązaniem dla podmiotów przekazujących dane osobowe do Wielkiej Brytanii byłoby przyjęcie, iż po zakończeniu okresu przejściowego będą zobligowane do spełnienia dodatkowych wymogów określonych w Rozporządzeniu 2016/679. Co prawda w komunikacie Urzędu Ochrony Danych Osobowych (UODO) z dnia 30.12.2020 r. wskazano, iż Komisja Europejska zadeklarowała chęć niezwłocznego rozpoczęcia formalnej procedury w zakresie oceny poziomu ochrony danych osobowych w stosunku do Zjednoczonego Królestwa. Jednak administratorzy i podmioty przetwarzające przekazujące dane do  Wielkiej Brytanii, powinny być w tym przypadku gotowe na każdą ewentualność, w tym również na możliwość, iż Komisja nie wyda w odpowiednim czasie właściwej decyzji.

 

 

 

 

Fot.pixabay.com

Alicja Żywicka
Aplikant radcowski

Poprzedni
Następny

kontakt

Zapraszamy do korzystania z formularza kontaktowego. Postaramy się skontaktować z Państwem najszybciej jak to możliwe.

Korzystanie ze strony oznacza akceptację Polityki Cookies.

X