Wszystko wskazuje na to, że 31 stycznia 2020 r. Wielka Brytania ostatecznie wystąpi z Unii Europejskiej. W przypadku wielu przedsiębiorców istotnym zagadnieniem związanym z tzw. Brexitem będą regulacje dotyczące przetwarzania danych osobowych wymienianych w ramach stosunków gospodarczych. Co na ten temat warto wiedzieć? Kluczowe informacje poniżej.
Podsumowanie
- Wielka Brytania ostatecznie wystąpi z Unii Europejskiej 31 stycznia br., co ma określone konsekwencje gospodarcze także w zakresie transferu danych osobowych między powiązanymi biznesowo podmiotami ze Zjednoczonego Królestwa oraz spoza niego.
- Traktowanie Wielkiej Brytanii w okresie przejściowym jako państwa członkowskiego Unii Europejskiej, pozwala na swobodny transfer danych w dotychczas stosowanym modelu.
- Ostateczne warunki współpracy gospodarczej od 1 stycznia 2021 r. – w tym także wymiany danych osobowych – będą zależały od treści przyszłej umowy o wolnym handlu między Wielką Brytanią i Unią Europejską.
Jeszcze w ubiegłym roku przewidywany scenariusz zakładał wystąpienie Wielkiej Brytanii z Unii Europejskiej bez zawarcia regulującej ten fakt umowy międzynarodowej. W odniesieniu do kwestii związanych z przetwarzaniem danych osobowych oznaczałoby to, że swobodny transfer danych byłby niemożliwy, a zgodnie z przepisami RODO, Wielka Brytania byłaby traktowana jako tzw. państwo trzecie. W efekcie każdy transfer danych osobowych do Wielkiej Brytanii (tj. poza Europejski Obszar Gospodarczy – EOG) wymagałby dodatkowych zabezpieczeń, zgodnie z przepisami zawartymi w rozdziale V RODO.
Dopuszczalność transferu danych poza EOG
Pierwsza przesłanka zezwalająca na transfer danych osobowych poza EOG, to decyzja Komisji Europejskiej, która potwierdza, że dane państwo zapewnia odpowiedni poziom ochrony danych osobowych – jednak liczba takich decyzji jest niewielka.
Najczęściej stosowanym mechanizmem zabezpieczającym transfer danych – który potencjalnie miałby najszersze zastosowanie także w przypadku bezumownego Brexitu – byłoby stosowanie standardowych klauzul umownych. W praktyce oznaczałoby to zawarcie dodatkowej umowy odnoszącej się stricte do transferu danych osobowych do państwa trzeciego.
Innymi popularnymi rozwiązaniami umożliwiającymi transfer danych, są: deklaracja stosowania określonego poziomu zabezpieczeń (np. Privacy Shield), lub zgoda podmiotu danych lub przyjęcie wyjątku, iż transfer danych jest niezbędny do wykonania umowy między administratorem danych, a osobą, której dane dotyczą.
W minionym roku Komisja Europejska wydała istotny z punktu widzenia omawianego zagadnienia załącznik o nazwie: Ochrona danych: skoordynowane podejście w przypadku wystąpienia Zjednoczonego Królestwa z Unii bez porozumienia.
Brexit z umową a RODO
Finalnie przyjęty kształt Brexitu nastąpi na podstawie umowy, co wiąże się z rozpoczęciem obowiązywania tzw. okresu przejściowego (od 1 lutego 2020 r.). W dużym uproszczeniu oznacza to, że Wielka Brytania nadal będzie traktowana jako „bierne” państwo członkowskie, z wyłączeniem możliwości aktywnego udziału w procesie decyzyjnym Unii Europejskiej. Jak przekłada się to na wymianę danych osobowych z podmiotami gospodarczymi z Wielkiej Brytanii?
Zakładając, że ostatecznie wiążącym aktem kształtującym proces Brexitu będzie Umowa o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej (2019/C 66 I/01), w kształcie publikowanym m.in. na dedykowanej stronie Ministerstwa Rozwoju, należy zwrócić uwagę na poszczególne przepisy jej Tytułu VII – Dane i informacje przetworzone lub uzyskane przed zakończeniem okresu przejściowego lub na podstawie niniejszej umowy.
Transfer danych osobowych z Wielkiej Brytanii w okresie przejściowym
W art. 71 przytaczanej umowy czytamy, że przepisy RODO mają zastosowanie do:
- Zjednoczonego Królestwa w odniesieniu do przetwarzania danych osobowych osób, których dane dotyczą,
- spoza Zjednoczonego Królestwa, jeżeli takie dane były przetwarzane zgodnie z prawem unijnym w Zjednoczonym Królestwie przed zakończeniem okresu przejściowego,
- lub są przetwarzane w Zjednoczonym Królestwie po zakończeniu okresu przejściowego.
Zatem art. 71 jest deklaracją tego, w jaki sposób Zjednoczone Królestwo będzie przetwarzać dane osobowe osób fizycznych z Unii oraz z krajów nie będących członkami Unii Europejskiej (tj. także art. 71 ust. 2 i 3). Dodatkowo Wielka Brytania (w art. 73 analizowanej umowy) zagwarantowała sobie ze strony Unii Europejskiej, iż przetwarzanie danych osobowych pochodzących ze Zjednoczonego Królestwa będzie realizowane tak, jak w przypadku danych pochodzących od państwa członkowskiego.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Transfer danych osobowych z UE do Wielkiej Brytanii w okresie przejściowym
Analizowana umowa nie reguluje wprost kwestii transferu danych osobowych odbywającego się z państwa członkowskiego do Wielkiej Brytanii. Odpowiedź dotyczącą tej kwestii odnajdziemy w Decyzji Rady (UE) 2019/274 z dnia 11 stycznia 2019 r. w sprawie podpisania, w imieniu Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej, Umowy o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej. W preambule przedmiotowej decyzji odnajdziemy zapis, w którym potwierdza się, iż w okresie przejściowym stosuje się prawo Unii, a Zjednoczone Królestwo jest traktowane jako państwo członkowskie. Mowa tu o poniższych zapisach:
„Umowa przewiduje okres przejściowy, w którym – niezależnie od wszystkich konsekwencji wystąpienia Zjednoczonego Królestwa z Unii w odniesieniu do udziału Zjednoczonego Królestwa w instytucjach, organach i jednostkach organizacyjnych Unii – prawo Unii, w tym umowy międzynarodowe, będzie miało zastosowanie do Zjednoczonego Królestwa i w Zjednoczonym Królestwie. Komisja powinna zatem notyfikować, w imieniu Unii i Euratomu, pozostałym stronom takich umów międzynarodowych, że w okresie przejściowym Zjednoczone Królestwo traktuje się jak państwo członkowskie na użytek takich umów międzynarodowych”.
Wszelkie aktualności dotyczące omawianego zagadnienia można odnaleźć także pod adresem dedykowanej strony internetowej Ministerstwa Rozwoju, tj.: www.brexit.gov.pl.
Okres przejściowy jak sprzed Brexitu
Jak widać powyżej, zapisy RODO odnoszące się do konieczności zabezpieczenia transferu danych osobowych do państw trzecich nie będą miały zastosowania do Wielkiej Brytanii, przynajmniej w trakcie tzw. okresu przejściowego. Traktowanie Wielkiej Brytanii w okresie przejściowym jako państwa członkowskiego, pozwala na swobodny transfer danych w dotychczas stosowanym modelu.
Należy jednak pamiętać, że ostateczne warunki współpracy gospodarczej od 1 stycznia 2021 r. – w tym także wymiany danych osobowych – będą zależały od treści przyszłej umowy o wolnym handlu między Wielką Brytanią i Unią Europejską.
W przypadku przedsiębiorców (a zwłaszcza grup kapitałowych), warto się zastanowić, czy nie ma miejsca transfer danych osobowych poza EOG. Samo korzystanie z usług hostingu, narzędzi do wysyłki newsletterów czy współpraca handlowa z krajami spoza EOG, mogą powodować taki transfer. Oprócz dodatkowych środków zabezpieczeń, transfer ten wymaga przede wszystkim dodatkowego zewidencjowania w ramach rejestru czynności przetwarzania, zmian w umowach przetwarzania, czy zawarcia dodatkowych zapisów w tzw. klauzulach informacyjnych.