Wielkimi krokami zbliża się 29 marca 2019 roku tj. data wystąpienia Wielkiej Brytanii z Unii Europejskiej. Nadal nie wiemy na jakich zasadach do tego dojdzie, czy będzie to tak zwany twardy Brexit czy jednak zostanie zawarte porozumienie pomiędzy Unią a Zjednoczonym Królestwem. Jedno jest pewne – wiele się zmieni, także w kwestii ochrony danych.
Burzliwe dyskusje
W temacie wystąpienia Wielkiej Brytanii z Unii Europejskiej obserwujemy zwroty akcji niczym w dobrym filmie sensacyjnym i nadal nie jesteśmy pewni jakie będzie zakończenie. Ostatnio głośno mówiło się o braku postępów w negocjacjach z Unią, co mogło zwiastować twardy Brexit. Światełko w tunelu pojawiło się 14 listopada, kiedy to Premier Wielkiej Brytanii Theresa May ogłosiła, że rząd poparł projekt umowy dotyczącej wyjścia Zjednoczonego Królestwa z Unii Europejskiej. Wiadomość ta sprawiła, że wszyscy się uspokoili. Spokój okazał się jednak chwilowy. Następnego dnia po wystąpieniu Premier Theresy May, dymisję złożyło bowiem aż 4 ministrów w tym Dominic Raab, główny negocjator ds. wyjścia z Unii. Pojawiły się nawet plotki o dymisji Pani Premier oraz o ponownym referendum w sprawie Brexitu. Według najnowszych doniesień, 25 listopada 2018 roku na nadzwyczajnym szczycie Unii, porozumienie ma zostać jednak zatwierdzone, chociaż Hiszpania zapowiada, że je zawetuje.
To wszystko sprawia, że na cztery i pół miesiąca przed wyjściem Wielkiej Brytanii z Unii Europejskiej nie wiemy jak będzie ono przebiegało.
Co oznacza Brexit w kontekście ochrony danych osobowych?
Jak mówią rasowi prawnicy to zależy od sytuacji. Możliwe są bowiem dwa scenariusze. W wariancie optymistycznym, gdy dojdzie do porozumienia, zgodnie z jego projektem, transfer danych do Wielkiej Brytanii miałby wyglądać tak jak obecnie jeszcze przez 2 lata. Byłby to okres, w którym Komisja Europejska (zgodnie z RODO jest to jej wyłączna kompetencja) mogłaby podjąć działania, aby uznać Zjednoczone Królestwo za kraj bezpieczny, zapewniający odpowiedni poziom ochrony. Obecnie za kraje bezpieczne Komisja Europejska uznała m.in. Kanadę, Szwajcarię i Nową Zelandię.
Zakładając gorszy scenariusz, czyli twardy Brexit, Komisja Europejska prawdopodobnie nie uzna od razu Wielkiej Brytanii za państwo bezpieczne, tym samym stanie się ona państwem trzecim, czyli paradoksalnie, mimo, że w Zjednoczonym Królestwie jest wysoki poziom ochrony danych osobowych, przez prawo Wielka Brytania będzie traktowana jako niebezpieczna – podobnie jak np. Chiny. Przekazywanie danych osobowych do Zjednoczonego Królestwa będzie wtedy nadal możliwe, ale utrudnione. Dodatkowe obostrzenia będą przeszkodą dla wszystkich firm, przekazujących dane osobowe do Wielkiej Brytanii.
Co czeka przedsiębiorców po twardym Brexicie?
Na terenie Unii i w krajach bezpiecznych, przesłanki przetwarzania danych i przekazania szukamy, w zależności od stanu faktycznego, w art. 6, 9 RODO albo w art. 28 tj. umowie powierzenia. W przypadku państw trzecich, wobec których Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni stopień ochrony, dodatkowo musimy znaleźć podstawę na zalegalizowanie przekazania danych. Oczywiście z pomocą przychodzi nam RODO, które w Rozdziale V opisuje jakie mamy możliwości. Nie mniej jednak trzeba przyznać, że jest z tym już trochę więcej „zabawy”.
Metoda nr 1
Pierwszym sposobem na zgodny z prawem transfer danych do Wielkiej Brytanii mogą być standardowe klauzule umowne, zatwierdzone przez Komisję Europejską. Jest to rozwiązanie dość wygodne, ponieważ są to gotowe klauzule, które należy wypełnić i załączyć do podpisywanej umowy. Klauzule zapewniają odpowiednią ochronę danych osobowych oraz praw i wolności osób fizycznych. Problematyczne jest jednak to, że póki co nie ma stworzonych klauzul na gruncie RODO. Obecne klauzule funkcjonują jeszcze w rzeczywistości Dyrektywy 95/46/WE i przed ich zastosowaniem należy je odpowiednio dostosować do obecnego stanu prawnego.
Metoda nr 2
Kolejna opcja to wiążące reguły korporacyjne, dotyczące dużych, międzynarodowych firm. Wariant ten jednak nie jest już tak wygodny. Wiąże się bowiem z koniecznością zatwierdzenia ich przez organ nadzorczy – Urząd Ochrony Danych Osobowych. Reguły te powinny zawierać podstawowe zasady przekazywania danych w ramach korporacji, które zapewnią odpowiedni poziomom ich ochrony.
W przyszłości przekazanie danych będzie również możliwe na podstawie kodeksu postępowania w danej branży lub mechanizmu certyfikacji, jeżeli znajdą się tam zapisy o zapewnieniu odpowiednich zabezpieczeń przez administratora lub podmiot przetwarzający w państwie trzecim. Obecnie w wielu sektorach (np. bankowym, ubezpieczeniowym) trwają prace nad takimi kodeksami. Branża medyczna ma już nawet gotowy projekt kodeksu, który czeka tylko na zatwierdzenie przez Urząd Ochrony Danych Osobowych. Pozytywna ocena UODO takiego kodeksu daje dopiero zielone światło i możliwość jego stosowania.
W Ogólnym rozporządzeniu o ochronie danych (RODO) wskazano także szczególne sytuacje, w których bez spełnienia jakiegokolwiek środka wymienionego powyżej można przekazać dane do państwa trzeciego, są to m. in. zgoda osoby, której dane dotyczą (po uprzednim poinformowaniu jej o ewentualnym ryzyku), niezbędność transferu do wykonania umowy, ważny interes publiczny czy ochrona żywotnych interesów osoby. Taki transfer może mieć jednak wyłącznie charakter jednorazowy lub wielokrotny (tj. może mieć miejsce kilka razy, ale nie powinien być powtarzalny).
Czy Twoja firma jest gotowa na Brexit?
Ze względu na dynamiczną sytuację związaną z Brexitem, warto monitorować sytuację, by w razie konieczności szybko zareagować na zmieniającą się rzeczywistość. Trzymamy kciuki, aby porozumienie zostało podpisane. Transfer danych pomiędzy krajami Unii a Zjednoczonym Królestwem jest bardzo żywy i łączy się z rozwojem gospodarczym. Szkoda by było, gdyby brak porozumienia miał wpływ na wyhamowanie tego rozwoju, a tego wykluczyć nie można.
Autor artykułu:
Małgorzata Perłowska-Paś
Pobierz artykuł w PDF
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.