21 stycznia 2019 w Blog

Jak przekazywać dane osobowe z Polski do Wielkiej Brytanii na wypadek Brexitu?

W związku z dużym prawdopodobieństwem wystąpienia Wielkiej Brytanii z Unii Europejskiej bez zawarcia regulującej to umowy międzynarodowej, Prezes UODO wyjaśniła, jakie będą tego konsekwencje dla polskich administratorów danych oraz podmiotów przetwarzających dane.

Tak długo, jak Wielka Brytania będzie członkiem Unii Europejskiej, transferowanie danych do podmiotów działających na jej terytorium będzie odbywać się bez żadnych dodatkowych ograniczeń, zupełnie tak, jak to miało miejsce dotychczas.

Natomiast po wystąpieniu z Unii Europejskiej, w świetle przepisów RODO Wielka Brytania będzie traktowana jak państwo trzecie. Oznacza to, że przesyłanie danych osobowych do tego państwa będzie możliwe dopiero po spełnieniu dodatkowych warunków, przewidzianych w rozdziale V RODO.

Jak zapewnić legalność przekazywania danych do Wielkiej Brytanii na wypadek brexitu?

Aby zapewnić legalność przekazywania danych do Wielkiej Brytanii po jej wystąpieniu z UE, już teraz należy podjąć odpowiednie działania. Przede wszystkim, w ocenie Prezes UODO, należy:

  • ustalić, jakie dane, w jakich celach i na jakiej podstawie prawnej są obecnie transferowane do Wielkiej Brytanii;
  • zdecydować, czy po wystąpieniu Wielkiej Brytanii z UE przekazywanie będzie nadal kontynuowane;
  • wybrać i wdrożyć odpowiedni mechanizm;
  • zidentyfikować podstawę prawną umożliwiającą przekazywanie danych;
  • zmodyfikować wewnętrzną dokumentację przetwarzania danych, w tym w szczególności rejestr czynności przetwarzania, klauzule informacyjne, istniejące wiążące reguły korporacyjne.

Transfer danych do państw trzecich – decyzja Komisji Europejskiej

Co do zasady przekazanie danych osobowych do państwa trzeciego może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie zapewnia odpowiedni stopień ochrony. Takie przekazanie nie wymaga wtedy dodatkowego zezwolenia. Nie jest jednak możliwe, aby KE wydała w sprawie Wielkiej Brytanii odpowiednią decyzję przed jej wystąpieniem z UE. Wobec powyższego do czasu wydania przez KE stosownej decyzji konieczne będzie stosowanie innych rozwiązań, które umożliwią przekazywanie danych do państw trzecich.

Standardowe klauzule umowne

W razie braku decyzji KE administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego, gdy zapewnią odpowiednie zabezpieczenia oraz pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej.

Odpowiednie zabezpieczenia, o których mowa powyżej, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – m.in. za pomocą standardowych klauzul ochrony danych przyjętych przez Komisję Europejską. Obecnie obowiązują trzy decyzje Komisji Europejskiej w tym zakresie: decyzja 2001/497/WE, decyzja 2004/915/WE, decyzja 2010/87/UE.

Wiążące reguły korporacyjne

Międzynarodowe grupy kapitałowe mogą także skorzystać z wiążących reguł korporacyjnych, które zostały wcześniej zatwierdzone przez jeden z organów ochrony danych osobowych z państw członkowskich UE w ramach przewidzianej przez RODO procedury spójności.

Wyjątki w szczególnych sytuacjach

W szczególnych sytuacjach RODO dopuszcza również przekazywanie danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony lub gdy nie zapewniono odpowiednich zabezpieczeń jak standardowe klauzule umowne, czy wiążące reguły korporacyjne. Jest to możliwe w sytuacji, gdy:

  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
  • przekazanie niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  • przekazanie danych następuje z publicznego rejestru;
  • przekazanie jest niezbędne ze względu na ważne prawnie uzasadnione interesy administratora i zostały spełnione dodatkowe wymogi.

W przypadku jakichkolwiek pytań lub wątpliwości dotyczących ochrony danych osobowych, w tym przekazywania danych do Wielkiej Brytanii po jej wystąpieniu z UE, czy też działań, jakie należy podjąć w celu zapewnienia legalności transferowania danych do państw trzecich, zapraszamy do kontaktu z Kancelarią. Z chęcią odpowiemy na wszystkie Państwa pytania.

Materiały zamieszczone na stronie internetowej Kancelarii Prawnej SQUARE mają charakter informacyjny i nie stanowią porady prawnej. Kancelaria Prawna SQUARE, ani jej pracownicy, nie ponoszą odpowiedzialności za ewentualne błędy lub braki w zamieszczonych materiałach oraz ewentualne działania podjęte w oparciu o takie materiały.
Osoby zainteresowane uzyskaniem porady prawnej lub informacji dotyczących kwestii poruszonych na stronie proszone są o skontaktowanie się bezpośrednio z Kancelarią Prawną SQUARE poprzez formularz kontaktowy, wiadomość e-mail lub telefonicznie na numer wskazany w stopce.

The materials and information posted on the SQUARE Legal website are provided for general information purposes only and do not constitute legal advice. SQUARE Legal and its employees are not responsible for any errors or deficiencies in the posted materials or information, and any actions taken based thereon.
Should you be interested in obtaining legal advice or information on issues discussed on the SQUARE Legal website, do not hesitate to contact us directly via phone, online contact form or e-mail.