produkty

Intelektualna.pl
  • Magdalena Michalska – Niewiadomska

    Jak przebiega transfer danych osobowych do Wielkiej Brytanii po Brexit?

    W związku z wystąpieniem Wielkiej Brytanii z Unii Europejskiej i zakończeniem okresu przejściowego dnia 1 stycznia 2021 r. Unia Europejska stanęła przed wyzwaniem uregulowania „na nowo” zasad przekazywania danych osobowych z terytorium UE do Wielkiej Brytanii. Wiele podmiotów z siedzibą w UE pomimo Brexitu w dalszym ciągu będzie utrzymywać stosunki handlowe z przedsiębiorcami z Wielkiej Brytanii, z którymi transfer danych osobowych może być nierozerwalnie związany.

     

    Na wstępie warto wyjaśnić, że na gruncie ogólnego rozporządzenia o ochronie danych („RODO)”[1] – które realizuje zasadę swobody przepływu danych osobowych pomiędzy państwami członkowskimi UE – transfer pomiędzy państwami Europejskiego Obszaru Gospodarczego („EOG”) nie wymaga spełnienia żadnych dodatkowych obowiązków. Obszar EOG obejmuje obszar UE oraz Islandii, Liechtenstein i Norwegii. Przekazywanie danych osobowych pomiędzy państwami należącymi do EOG następuje dokładnie tak samo jakby obywało się to w ramach terytorium tego samego państwa, co jest wygodne m.in. dla spółek wchodzących w skład międzynarodowych grup kapitałowych, które mają siedziby w poszczególnych państwach EOG.

     

    Z drugiej strony transfer danych osobowych do tzw. państw trzecich, czyli państw poza EOG, obarczony jest dodatkowymi obostrzeniami. Warto wyjaśnić, że przez „transfer” czy „przekazanie” danych do państwa trzeciego rozumie się „fizyczne” przeniesienie tych danych na terytorium państwa trzeciego, np. przesłanie danych na serwer, który znajduje się w państwie trzecim.

     

    Kiedy transfer danych osobowych do państwa trzeciego jest zgodny z RODO?

     

    Jeśli chcemy dokonać transferu danych osobowych do państwa spoza EOG, to w pierwszej kolejności powinniśmy sprawdzić, czy wobec takiego państwa Komisja Europejska wydała decyzję o zapewnianiu przez to państwo tzw. odpowiedniego stopnia ochrony. Takie decyzje zostały wydane, np. w stosunku do Kanady, Nowej Zelandii czy Izraela. Co prawda, decyzje te zostały wydane w oparciu o poprzednio obowiązującą dyrektywę 95/46/WE (uchyloną przez RODO), ale zgodnie z art. 45 ust. 9 RODO decyzje te pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia. Co ważne, jeśli w stosunku do danego państwa została wydana taka decyzja Komisji Europejskiej, transfer danych osobowych do takiego państwa może się odbyć bez konieczności spełnienia dalszych szczególnych warunków.

     

    Jeżeli jednak w odniesieniu do danego państwa spoza EOG nie została wydana taka decyzja, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do takiego państwa wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46 ust. 1 RODO). Przez takie odpowiednie zabezpieczenia rozumie się m.in.:

    • prawnie wiążący i egzekwowalny instrument między organami lub podmiotami publicznymi;
    • wiążące reguł korporacyjnych (ang. binding corporate rules);
    • standardowe klauzule ochrony danych przyjęte przez Komisję Europejską;
    • standardowe klauzule ochrony danych przyjęte przez organ nadzorczy i zatwierdzone przez Komisję Europejską;
    • zatwierdzony kodeks postępowania;
    • zatwierdzony mechanizm certyfikacji.

     

     

    W dalszej kolejności, jeśli Komisja Europejska nie wydała w stosunku do danego państwa trzeciego decyzji stwierdzającej odpowiedni stopień ochrony i brak jest odpowiednich zabezpieczeń (które zostały wymienione powyżej), jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego może nastąpić wyłącznie pod warunkiem, że:

    • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
    • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
    • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
    • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
    • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
    • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
    • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

     

    Czy po Brexit Wielka Brytania będzie państwem trzecim w rozumieniu RODO?

     

    Tak. Niemniej warto odnotować, że problem ten został dostrzeżony w ramach negocjowania umowy regulującej stosunku UE z Wielką Brytania po wyjściu z UE. Zgodnie bowiem z tzw. klauzulą pomostową zawartą w postanowieniach końcowych Umowy o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej, przez wskazany okres przekazanie danych osobowych z UE do Wielkiej Brytanii nie będzie uważane za transfer danych do państwa trzeciego[2].

     

    Wskazany powyżej „okres” upływa w dniu, w którym:

    1. decyzje stwierdzające odpowiedni stopień ochrony w odniesieniu do Wielkiej Brytanii zostaną przyjęte przez Komisję Europejską zgodnie dyrektywą (UE) 2016/680 oraz na podstawie RODO lub
    2. upływnie cztery miesiące dnia po rozpoczęcia biegu wskazanego ww. okresu, który to okres przedłuża się o kolejne dwa miesiące, chyba że sprzeciwi się temu jedna ze stron;

     

    w zależności od tego, które ze zdarzeń nastąpi wcześniej[3].

     

    Z powyższego wynika, że co do zasady do dnia 1 lipca 2021 r. przedsiębiorcy mogą przekazywać dane osobowe do Wielkiej Brytanii na dotychczasowych zasadach. Z komunikatu prasowego Komisji Europejskiej wynika, że Komisja wszczęła już procedurę mającą na celu wydanie decyzji w przedmiocie zapewniania przez Wielką Brytanię odpowiedniego stopnia ochrony danych osobowych[4]. Co więcej, dostępny jest nawet projekt tych decyzji[5].

     

    Jeżeli Komisja wyda taką decyzję na gruncie RODO to – w wymiarze praktycznym – transfer danych do Wielkiej Brytanii będzie odbywał się na takich samych zasadach jak miało to miejsce do dnia 31 grudnia 2020 r., tj. tak jakby nadal odbywał się w ramach EOG.

     

    Problem może pojawić się dopiero wtedy, gdy na dzień 1 lipca 2021 r. Komisja Europejska nie zdąży przeprowadzić całej procedury i wydać decyzji o zapewnianiu przez Wielką Brytanię odpowiedniego stopnia ochrony danych osobowych. W takim przypadku Wielka Brytania będzie uznawana za państwo trzecie w rozumieniu RODO – z pełnymi konsekwencjami. A mianowicie, przedsiębiorcy chcący przekazywać dane osobowe do Wielkiej Brytanii będą obowiązani zapewniać dodatkowe zabezpieczenia przy takim transferze (np. zawrzeć z kontrahentem z Wielkiej Brytanii tzw. standardowe klauzule umowne czy pozyskiwać zgody podmiotów danych na taki transfer ich danych).

     

     

     

    [1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej „RODO”.

    [2] Article FINPROV.10A § 1; https://ec.europa.eu/info/sites/info/files/brexit_files/info_site/tca-20-12-28.pdf

    [3] Article FINPROV.10A § 1; https://ec.europa.eu/info/sites/info/files/brexit_files/info_site/tca-20-12-28.pdf

    [4] https://ec.europa.eu/commission/presscorner/detail/pl/ip_21_661

    [5] https://ec.europa.eu/info/sites/info/files/draft_decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_19_feb_2020.pdf

    Te artykuły również Cię zainteresują: