Brexit a ochrona danych osobowych Polaków

Co oznacza brexit dla ochrony i bezpieczeństwa danych osobowych, w przypadku wystąpienia Wielkiej Brytanii z Unii Europejskiej, bez zawarcia międzynarodowej umowy w tym zakresie? Jakie będą tego konsekwencje dla polskich administratorów danych i podmiotów je przetwarzających? Jak się do tego właściwie przygotować?

komputer - laptop
  • Rafał Stępniewski
  • /
  • 21 stycznia 2019

Jak wyjaśnia prezes UODO, obecne zasady przekazywania danych z Polski do Wielkiej Brytanii będą obowiązywały tylko do 29 marca 2019 r. Później polscy administratorzy muszą rozważyć alternatywne scenariusze. Dopóki Wielka Brytania będzie członkiem UE, przekazywanie danych do podmiotów działających na terytorium tego państwa będzie mogło się bowiem odbywać tak, jak dotychczas, bez żadnych dodatkowych ograniczeń.

Transfery w obrębie UE korzystają z zasady swobodnego przepływu danych. Zgodnie z nią, przekazywanie danych z Polski do innych państw Europejskiego Obszaru Gospodarczego (UE oraz Islandia, Liechtenstein i Norwegia) jest traktowane tak samo, jakby odbywało się na terenie Polski. Wymagane jest przestrzeganie podstawowych zasad przetwarzania danych i wynikających z nich obowiązków.

Przekazywanie danych do państwa trzeciego

Od momentu wystąpienia z UE, Wielka Brytania będzie traktowana jako państwo trzecie. Oznacza to, iż wszystkie transfery danych muszą spełniać dodatkowe wymogi dotyczące przekazywania danych do państw trzecich lub organizacji międzynarodowych, które zostały określone w rozdziale V RODO.

Przekazywanie danych do państwa trzeciego może mieć miejsce, gdy Komisja Europejska stwierdzi, że państwo to zapewnia odpowiedni poziom ochrony danych osobowych. Przekazanie danych jest wówczas dopuszczalne bez konieczności podejmowania dodatkowych działań. KE wydała takie decyzje np. wobec Kanady, Nowej Zelandii, czy Izraela.

Niestety nie jest możliwe, aby Komisja Europejska wydała w sprawie Wielkiej Brytanii taką decyzję pod koniec marca 2019 roku. Dlatego do czasu wydania przez KE stosownej decyzji, należy sprawdzić alternatywne rozwiązania, które umożliwią przekazywanie danych – zaleca UODO.

Jak zapewnić legalność transferów danych po 29 marca 2019 r.?

Polscy przedsiębiorcy i podmioty publiczne muszą się do tego wcześniej przygotować, aby zapewnić legalność transferów danych do Wielkiej Brytanii w nowym stanie prawnym, który będzie obowiązywał od 30 marca 2019 r.

Jakie kroki należy podjąć przed 30 marca 2019 r.?

Każdy administrator danych lub podmiot przetwarzający, który obecnie przekazuje dane do Wielkiej Brytanii, powinien:

  • zidentyfikować, jakie dane, w jakich celach i na jakiej podstawie prawnej są obecnie przekazywane do Wielkiej Brytanii;
  • zdecydować, czy transfery te będą kontynuowane po 29 marca 2019 r.;
  • wybrać i wdrożyć odpowiedni mechanizm, bądź podstawę prawną umożliwiającą przekazywanie danych;
  • z razie potrzeby zmodyfikować:
    • wewnętrzną dokumentację przetwarzania danych, w tym rejestr czynności przetwarzania,
    • klauzule informacyjne,
    • istniejące, wiążące reguły korporacyjne;
  • śledzić informacje dotyczące przebiegu procesu wyjścia Wielkiej Brytanii z UE, gdyż nie jest jeszcze pewne na jakich zasadach to nastąpi — co może mieć wpływ na obowiązki związane z transferem danych;
  • przedsiębiorcy w pierwszej kolejności powinni pomyśleć o zastosowaniu standardowych klauzul umownych ochrony danych, które zostały zatwierdzone przez KE.

>>>CZYTAJ TEŻ: Zgłaszanie naruszenia ochrony danych osobowych

Za zgodą konsumenta lub w szczególnych sytuacjach

RODO dopuszcza przekazywanie danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony lub gdy nie zapewniono odpowiednich zabezpieczeń, jak np. standardowe klauzule umowne czy wiążące reguły korporacyjne. Jest to możliwe w szczególnych sytuacjach, o których mówi art. 49 RODO:

  1. Osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę. Zgoda musi:
  • być wyraźna,
  • dotyczyć konkretnie danego jednorazowego/wielokrotnego przekazania danych,
  • być świadoma, w szczególności osoba udzielająca zgody musi zdawać sobie sprawę z ewentualnego ryzyka, z którym może się wiązać przekazanie.
  1. Przekazanie jest niezbędne do:
    •  wykonania umowy między osobą, której dane dotyczą, a administratorem, a także do wprowadzenia w życie środków przedumownych, podejmowanych na żądanie osoby, której dane dotyczą;
    • zawarcia lub wykonania umowy będącej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
    • do ustalenia, dochodzenia lub ochrony roszczeń;
    • do ochrony żywotnych interesów osoby, których dane dotyczą, albo innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
    • ze względu na ważne prawnie uzasadnione interesy administratora, przy spełnieniu dodatkowych wymogów;
    • przekazania danych z publicznego rejestru;
    • ze względu na ważny interes publiczny.

>>>CZYTAJ TEŻ: Prawa konsumentów przy dochodzeniu roszczeń w UE

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej masz szybkie linki do udostępnień.

Security Magazine

Czy ten artykuł był przydatny?

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!