26 września, 2019

Brexit a przekazywanie danych osobowych do Wielkiej Brytanii.

Wiele wskazuje na to, że 31 października br. Wielka Brytania opuści Unię Europejską. Bardzo prawdopodobne, że będzie to tzw. twarde wyjście – to jest bez umowy kompleksowo regulującej przyszłe stosunki Unii i Zjednoczonego Królestwa. 

Jednym z problemów, z jakimi uporać się będą musieli przedsiębiorcy – o ile ziści się ten scenariusz – będzie znalezienie podstaw do utrzymania legalnego transferu danych osobowych pomiędzy obszarem Unii a Wielką Brytanią. Ta ostatnia, w świetle przepisów regulujących przetwarzanie danych osobowych, po opuszczeniu Wspólnoty, będzie bowiem uznana za tzw. państwo trzecie. 

Bez zbędnych utrudnień

Polski przedsiębiorca dotychczas nie musiał podejmować szczególnych, dodatkowych działań, w przypadku przesyłania danych osobowych do odbiorców na Wyspach. Wszystkie państwa należące do Unii (a także nienależące do niej: Islandia, Liechtenstein oraz Norwegia) na gruncie przepisów o ochronie danych są bowiem traktowane jednakowo – jako zapewniające odpowiednio wysoki stopień ochrony danych osobowych. Dla legalnego przesłania danych z Polski do Wielkiej Brytanii wystarczające było istnienie ogólnych przesłanek umożliwiających ich przetwarzanie.

Z dodatkowymi zabezpieczeniami

Inaczej sprawa wygląda w przypadku transferów danych do państw trzecich. Kategoria państw trzecich nie jest zresztą jednorodna. W przypadku części z nich Komisja Europejska stwierdziła, że mogą być one uznane za bezpiecznego odbiorcę danych (dotyczy to np. Kanady, czy Izraela), co eliminuje konieczność przedsiębrania dodatkowych kroków w celu legalizacji transferu danych. Co do pozostałych (a dotyczy to tak istotnych graczy w gospodarce światowej, jak np. Chiny, Indie czy USA) – obowiązujące przepisy wymagają zapewnienia „odpowiednich zabezpieczeń” przed przekazaniem do nich danych osobowych. Zabezpieczenia te mogą przybrać różne formy przewidziane przepisami RODO: standardowych klauzul umownych, wiążących reguł korporacyjnych, zatwierdzonych kodeksów postępowania, czy – w wyjątkowych przypadkach – innych rozwiązań (np. wyraźnej zgody osób zainteresowanych).

Wymagane przygotowanie

Trzeba wyraźnie podkreślić, że wdrożenie któregoś z tych rozwiązań przed datą opuszczenia Unii przez Zjednoczone Królestwo, będzie warunkiem niezbędnym dla dalszego legalnego transferu danych do tego państwa – o ile oczywiście (co wydaje się coraz mniej prawdopodobne) nie zostanie wypracowane jakieś rozwiązanie tego problemu na poziomie politycznym. 

Trzeba też mieć świadomość, że skuteczne wdrożenie przez administratorów odpowiednich rozwiązań wymaga szeregu skoordynowanych ze sobą, i wymagających czasu, działań. Warto więc uwzględnić to wyzwanie przy projektowaniu procesów związanych z przetwarzaniem danych osobowych w firmie.