BREXIT a RODO

BREXIT a RODO

W dniu 3 stycznia 2018 r. w Ministerstwie Cyfryzacji odbyło się posiedzenie planarne Grupy Roboczej ds. Ochrony Danych Osobowych, do której należy nasz ekspert – Anna Mrozowska. Głównym tematem dyskusji były konsekwencje wystąpienia Wielkiej Brytanii z Unii Europejskiej w kontekście RODO oraz transferu danych.
Jak wskazał przewodniczący spotkaniu dr Maciej Kawecki (Dyrektor Departamentu Zarządzania Danymi MC), BREXIT zbliża się wielkimi krokami i należy przygotować się na tzw. „twarde wyjście”, bez umowy regulującej późniejsze relacje między Wielką Brytanią w Unią Europejską. Przypomnijmy, że ma ona opuścić wspólnotę 30 marca 2019 o godz. 00:00 (29 marca 2019 o godzinie 23.00 wg czasu brytyjskiego). Jeżeli nie nastąpi przedłużenie negocjacji lub umowa nie zostanie podpisana powstanie chaos prawny, również w aspekcie danych osobowych.

Wielka Brytania - państwo trzecie

W momencie wystąpienia z UE Wielka Brytania stanie się państwem trzecim w rozumieniu rozporządzenia ogólnego o ochronie danych 2016/679 (dalej „RODO”) ze wszystkimi konsekwencjami wynikającymi z tego aktu prawnego. Znajdziemy się w nowej rzeczywistości prawnej – bardzo często korzystamy bowiem z hostingu, aplikacji oraz innych usług elektronicznych dostarczanych przez podmioty brytyjskie. Wiele problemów pojawi się również np. na gruncie usług turystycznych, ubezpieczeniowych czy pośrednictwa pracy.
Aby zalegalizować transfer danych do Wielkiej Brytanii po 30 marca 2019 r. będzie trzeba oprzeć się na zasadach ogólnych tyczących się przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych - uregulowanych w rozdziale 5 RODO.

Kiedy można przekazać dane do Państwa trzeciego?

RODO w rozdziale 5 opisuje warunki, jakie muszą zostać spełnione, aby można było legalnie przekazać dane osobowe do państwa trzeciego. Konstrukcja przepisów ma charakter „kaskadowy”. Po kolejne rozwiązania należy sięgać w przypadku niemożności spełnienia warunków uregulowanych w przepisach wcześniejszych – począwszy od art. 45, który wskazuje, że podstawą przekazania może być decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony. Komisja wydała wiele takich decyzji, uznając za kraje bezpieczne: Andorę, Argentynę, Australię, Izrael, Kanadę, Nową Zelandię, Szwajcarię oraz tereny częściowo zależne – Jersey, Wyspy Owcze, Wyspę Man oraz Guernsey. W dniu 12 lipca 2016 r. Komisja Europejska wydała również decyzję wykonawczą (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA, która umożliwia przekazywanie danych osobowych importerom, którzy przystąpią do tego programu. W chwili obecnej Komisja Europejska nie pracuje nad decyzją, która stwierdzałaby odpowiedni stopień ochrony Wielkiej Brytanii po opuszczeniu przez nią wspólnoty europejskiej. Po 30 marca będzie trzeba zatem szukać innego rozwiązania prawnego.

W razie braku decyzji administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej jedynie wtedy, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46 RODO).

Odpowiednie zabezpieczenia, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:

  • prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
  • wiążących reguł korporacyjnych zgodnie z art. 47 RODO;
  • standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
  • standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
  • zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do zastosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;
  • zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Jeśli uzyskamy zezwolenie właściwego organu nadzorczego, odpowiednie zabezpieczenia, o których mowa powyżej, można także zapewnić w szczególności za pomocą:
klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim (lub organizacji międzynarodowej); lub
postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

Ze wstępnej analizy Grupy Roboczej niestety wynika, że wiążące reguły korporacyjnie zatwierdzone dotychczas przez ICO (Information Commissioner Office – brytyjski organ nadzorczy) nie pozostaną w mocy.

Zgodnie z art. 49 ust. 1 RODO, w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony, jak i braku odpowiednich zabezpieczeń uregulowanych w art. 46 RODO, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego (lub organizacji międzynarodowej) może nastąpić tylko pod warunkiem, że:

  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, jednoznacznie wyraziła na nie zgodę;
  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na polecenie osoby, której dane dotyczą;
  • przekazanie jest konieczne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • przekazanie jest konieczne ze względu na ważne względy interesu publicznego;
  • przekazanie jest konieczne do ustalenia, dochodzenia lub ochrony roszczeń;
  • przekazanie jest konieczne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale jedynie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Jeżeli przekazanie nie może się opierać na art. 45 ani 46 RODO, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania żaden z wyjątków mających zastosowanie w szczególnych sytuacjach opisanych powyżej, przekazanie do państwa trzeciego może nastąpić jedynie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest konieczne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. Administrator informuje organ nadzorczy o przekazaniu. Poza informacjami, o których mowa w art. 13 i 14 RODO, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

Zmiany w wewnętrznej dokumentacji

W przypadku ziszczenia się czarnego scenariusza – wyjścia Wielkiej Brytanii z Unii Europejskiej bez zawartej umowy (na zasadzie „twardego wyjścia”, „no deal Brexit”) oprócz legalizacji transferu danych na zasadach opisanych powyżej, administratorzy i podmioty przetwarzające muszą pamiętać o innych obowiązkach wynikających z RODO. Przede wszystkim konieczna będzie odpowiednia aktualizacja obowiązków informacyjnych (art. 13 i 14 RODO) oraz zmiany w rejestrze czynności i kategorii czynności przetwarzania (art. 30 RODO).

Podsumowanie

Najkorzystniejszym i najprostszym rozwiązaniem byłoby oczywiście uznanie decyzją Komisji Europejskiej, że Wielka Brytania jest krajem o odpowiednim stopniu ochrony danych (zgodnie z art. 45 RODO). W takim przypadku jedyne co przedsiębiorcy musieliby zrobić to zaktualizować obowiązki informacyjne oraz wewnętrzną dokumentację. Nie byłoby problemu w przypadku wynegocjowania porozumienia. Dwuletni okres przejściowy dałby Komisji czas na wydanie odpowiedniej decyzji. „Twarde wystąpienie” z UE (na które niestety się zanosi) spowoduje jednak, iż przez co najmniej kilka miesięcy przedsiębiorstwa będą musiały sobie jednak radzić bez takiej decyzji, na podstawie przedstawionych w artykule przesłanek legalizujących transfer (art. 46 – 49 RODO).

Made with by Integree.eu