Temat Brexitu, czyli procesu opuszczania przez Wielką Brytanię struktur Unii Europejskiej powraca regularnie od czerwca 2016 roku. Rozmowy, w sprawie warunków wyjścia z UE, prowadzone są od prawie 3 lat. Jak będzie wyglądał transfer danych osobowych do Wielkiej Brytanii po Brexicie? Dowiemy się po 30 marca.
Przygotuj się na zmiany i przetestuj Rejestry RODO w LOG System
RODO a Brexit. Bez zmian do 29 marca 2019 r. Co potem?
Pewne jest, że do dnia 29 marca nie grożą nam żadne zmiany. Przekazywanie danych do podmiotów działających na terenie Wielkiej Brytanii będzie odbywać się jak dotychczas, w zgodzie z podstawowymi ustaleniami przetwarzania, ponieważ transfery danych w obrębie UE korzystają z zasady swobodnego przepływu.
Jeśli Wielka Brytania nie wycofa się z wniosku o opuszczenie Unii Europejskiej, to od 30 marca będzie traktowana w świetle ogólnego Rozporządzenia o ochronie danych (2016/679; dalej: RODO) jako państwo trzecie. Co to oznacza w praktyce? Transfery danych do Wielkiej Brytanii będą musiały spełniać dodatkowe wymogi, które określono w rozdziale V RODO. Zapewnienie legalności przesyłania danych jest obowiązkiem zarówno polskich przedsiębiorców, jak i organizacji publicznych.
Krokami koniecznymi do podjęcia po wyjściu Wlk. Brytanii, będzie m.in. zidentyfikowanie jakie dane i w jakim celu są przekazywane i zdecydowanie czy transfery te będą kontynuowane. Należy również wybrać odpowiednią podstawę prawną i w razie potrzeby zmodyfikować ją. Z racji faktu, że warunki Brexitu nie są jeszcze potwierdzone, warto śledzić doniesienia Prezesa UODO. W zależności od przyjętych zasad mogą zmienić się obowiązki związane z transferami.
Decyzja Komisji Europejskiej
O przekazywaniu danych do państw trzecich decyzje podejmuje Komisja Europejska (KE), sprawdzając czy dany kraj zapewnia odpowiedni poziom ochrony danych osobowych. W przypadku zgody KE odbywa się to bez konieczności podejmowania dodatkowych działań. Z informacji UODO wynika, że do marca KE nie zdąży wydać stosownej decyzji ws. Wielkiej Brytanii. Oznacza to, że będziemy zmuszeni stosować alternatywne rozwiązania (rozdział V RODO).
W kwestii standardowych klauzul umownych Komisja Europejska wydała trzy decyzje, o których zastosowaniu powinni pomyśleć wszyscy mali i średni przedsiębiorcy (linki do klauzul znajdują się na stronie UODO). Jeśli chodzi o grupy kapitałowe i duże firmy, istotne jest zmodyfikowanie obecnych wiążących reguł korporacyjnych i umieszczenie Wlk. Brytanii w grupie państw trzecich.
Co w sytuacji, gdy państwo trzecie nie zapewnia odpowiedniego poziomu ochrony danych?
Do państw trzecich, które nie mają zapewnionego właściwego poziomu ochrony, dane można przekazywać tylko w sytuacjach określonych w artykule 49 RODO. Chodzi m.in. o wzgląd na interes publiczny, sytuację ustalenia i dochodzenia roszczeń, przekazanie danych z rejestru publicznego, czy ochronę żywotnych interesów osoby, która jest niezdolna do wyrażenie zgody (dokładne regulacje znajdują się tutaj).
Wyznaczenie przedstawiciela w krajach UE
Jeśli dojdzie do Brexitu, to z kolei przedsiębiorcy z Wlk. Brytanii będą zobowiązani do pisemnego wyznaczenia swojego przedstawiciela w krajach Unii Europejskiej. Regulacja ta odnosi się do podmiotów, które oferują towary i usługi osobom znajdującym się w UE oraz monitorują ich zachowanie na terenie UE. Odejściem od tej reguły jest sytuacja, w której podejmowane przez firmę działania są sporadyczne, a przetwarzane dane nie należą do kategorii szczególnych.
W oczekiwaniu na Brexit
Marzec zbliża się wielkimi krokami, a w kwestii Brexitu wciąż nie ma porozumienia. Unia Europejska negocjowała z początkiem 2019 r. kształt umowy, lecz ostatecznie została ona odrzucona przez brytyjską Izbę Gmin. W tej sytuacji coraz bardziej prawdopodobny staje się scenariusz wyjścia Wlk. Brytanii z UE bez przyjętych ustaleń. Kiedy poznamy ostateczną decyzję? Nic nie jest jeszcze przesądzone, dlatego aby być na bieżąco, warto śledzić doniesienia Prezesa UODO.