Wszystko wskazuje na to, że 31 stycznia 2020 r. Wielka Brytania ostatecznie wystąpi z Unii Europejskiej. W przypadku wielu przedsiębiorców istotnym zagadnieniem związanym z tzw. Brexitem będą regulacje dotyczące przetwarzania danych osobowych wymienianych w ramach stosunków gospodarczych. Co na ten temat warto wiedzieć? Kluczowe informacje poniżej.

Jeszcze w ubiegłym roku przewidywany scenariusz zakładał wystąpienie Wielkiej Brytanii z Unii Europejskiej bez zawarcia regulującej ten fakt umowy międzynarodowej. W odniesieniu do kwestii związanych z przetwarzaniem danych osobowych oznaczałoby to, że swobodny transfer danych byłby niemożliwy, a zgodnie z przepisami RODO, Wielka Brytania byłaby traktowana jako tzw. państwo trzecie. W efekcie każdy transfer danych osobowych do Wielkiej Brytanii (tj. poza Europejski Obszar Gospodarczy – EOG) wymagałby dodatkowych zabezpieczeń, zgodnie z przepisami zawartymi w rozdziale V RODO.

Dopuszczalność transferu danych poza EOG

Pierwsza przesłanka zezwalająca na transfer danych osobowych poza EOG, to decyzja Komisji Europejskiej, która potwierdza, że dane państwo zapewnia odpowiedni poziom ochrony danych osobowych – jednak liczba takich decyzji jest niewielka.

Najczęściej stosowanym mechanizmem zabezpieczającym transfer danych – który potencjalnie miałby najszersze zastosowanie także w przypadku bezumownego Brexitu – byłoby stosowanie standardowych klauzul umownych. W praktyce oznaczałoby to zawarcie dodatkowej umowy odnoszącej się stricte do transferu danych osobowych do państwa trzeciego.

Innymi popularnymi rozwiązaniami umożliwiającymi transfer danych, są: deklaracja stosowania określonego poziomu zabezpieczeń (np. Privacy Shield), lub zgoda podmiotu danych lub przyjęcie wyjątku, iż transfer danych jest niezbędny do wykonania umowy między administratorem danych, a osobą, której dane dotyczą.

W minionym roku Komisja Europejska wydała istotny z punktu widzenia omawianego zagadnienia załącznik o nazwie: Ochrona danych: skoordynowane podejście w przypadku wystąpienia Zjednoczonego Królestwa z Unii bez porozumienia.

Brexit z umową a RODO

Finalnie przyjęty kształt Brexitu nastąpi na podstawie umowy, co wiąże się z rozpoczęciem obowiązywania tzw. okresu przejściowego (od 1 lutego 2020 r.). W dużym uproszczeniu oznacza to, że Wielka Brytania nadal będzie traktowana jako „bierne” państwo członkowskie, z wyłączeniem możliwości aktywnego udziału w procesie decyzyjnym Unii Europejskiej. Jak przekłada się to na wymianę danych osobowych z podmiotami gospodarczymi z Wielkiej Brytanii?

Zakładając, że ostatecznie wiążącym aktem kształtującym proces Brexitu będzie Umowa o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej (2019/C 66 I/01), w kształcie publikowanym m.in. na dedykowanej stronie Ministerstwa Rozwoju, należy zwrócić uwagę na poszczególne przepisy jej Tytułu VII – Dane i informacje przetworzone lub uzyskane przed zakończeniem okresu przejściowego lub na podstawie niniejszej umowy.

Transfer danych osobowych z Wielkiej Brytanii w okresie przejściowym

W art. 71 przytaczanej umowy czytamy, że przepisy RODO mają zastosowanie do:

  • Zjednoczonego Królestwa w odniesieniu do przetwarzania danych osobowych osób, których dane dotyczą,
  • spoza Zjednoczonego Królestwa, jeżeli takie dane były przetwarzane zgodnie z prawem unijnym w Zjednoczonym Królestwie przed zakończeniem okresu przejściowego,
  • lub są przetwarzane w Zjednoczonym Królestwie po zakończeniu okresu przejściowego.

Zatem art. 71 jest deklaracją tego, w jaki sposób Zjednoczone Królestwo będzie przetwarzać dane osobowe osób fizycznych z Unii oraz z krajów nie będących członkami Unii Europejskiej (tj. także art. 71 ust. 2 i 3). Dodatkowo Wielka Brytania (w art. 73 analizowanej umowy) zagwarantowała sobie ze strony Unii Europejskiej, iż przetwarzanie danych osobowych pochodzących ze Zjednoczonego Królestwa będzie realizowane tak, jak w przypadku danych pochodzących od państwa członkowskiego.

Newsletter "Alerty RODO" - nie daj się zaskoczyć!

Transfer danych osobowych z UE do Wielkiej Brytanii w okresie przejściowym

Analizowana umowa nie reguluje wprost kwestii transferu danych osobowych odbywającego się z państwa członkowskiego do Wielkiej Brytanii. Odpowiedź dotyczącą tej kwestii odnajdziemy w Decyzji Rady (UE) 2019/274 z dnia 11 stycznia 2019 r. w sprawie podpisania, w imieniu Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej, Umowy o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej. W preambule przedmiotowej decyzji odnajdziemy zapis, w którym potwierdza się, iż w okresie przejściowym stosuje się prawo Unii, a Zjednoczone Królestwo jest traktowane jako państwo członkowskie. Mowa tu o poniższych zapisach:

„Umowa przewiduje okres przejściowy, w którym – niezależnie od wszystkich konsekwencji wystąpienia Zjednoczonego Królestwa z Unii w odniesieniu do udziału Zjednoczonego Królestwa w instytucjach, organach i jednostkach organizacyjnych Unii – prawo Unii, w tym umowy międzynarodowe, będzie miało zastosowanie do Zjednoczonego Królestwa i w Zjednoczonym Królestwie. Komisja powinna zatem notyfikować, w imieniu Unii i Euratomu, pozostałym stronom takich umów międzynarodowych, że w okresie przejściowym Zjednoczone Królestwo traktuje się jak państwo członkowskie na użytek takich umów międzynarodowych”.

Wszelkie aktualności dotyczące omawianego zagadnienia można odnaleźć także pod adresem dedykowanej strony internetowej Ministerstwa Rozwoju, tj.: www.brexit.gov.pl.

Okres przejściowy jak sprzed Brexitu

Jak widać powyżej, zapisy RODO odnoszące się do konieczności zabezpieczenia transferu danych osobowych do państw trzecich nie będą miały zastosowania do Wielkiej Brytanii, przynajmniej w trakcie tzw. okresu przejściowego. Traktowanie Wielkiej Brytanii w okresie przejściowym jako państwa członkowskiego, pozwala na swobodny transfer danych w dotychczas stosowanym modelu.

Należy jednak pamiętać, że ostateczne warunki współpracy gospodarczej od 1 stycznia 2021 r. – w tym także wymiany danych osobowych – będą zależały od treści przyszłej umowy o wolnym handlu między Wielką Brytanią i Unią Europejską.

W przypadku przedsiębiorców (a zwłaszcza grup kapitałowych), warto się zastanowić, czy nie ma miejsca transfer danych osobowych poza EOG. Samo korzystanie z usług hostingu, narzędzi do wysyłki newsletterów czy współpraca handlowa z krajami spoza EOG, mogą powodować taki transfer. Oprócz dodatkowych środków zabezpieczeń, transfer ten wymaga przede wszystkim dodatkowego zewidencjowania w ramach rejestru czynności przetwarzania, zmian w umowach przetwarzania, czy zawarcia dodatkowych zapisów w tzw. klauzulach informacyjnych.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Brexit a RODO – transfer danych osobowych do Wielkiej Brytanii

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.