Jak przekazywać dane osobowe z Polski do Wielkiej Brytanii, jeśli Brexit stanie się faktem?

Co dla polskich administratorów danych i wszelkich podmiotów je przetwarzających może oznaczać wyjście Wielkiej Brytanii z Unii Europejskiej bez zawarcia umowy regulującej zasady wyjścia z UE? Urząd Ochrony Danych Osobowych (UODO) wyjaśnił możliwe konsekwencje takiego scenariusza i podał instrukcje, jak się do tego przygotować.

Jak przekazywać dane osobowe z Polski do Wielkiej Brytanii, jeśli Brexit stanie się faktem?

Dorota Kraskowska

22 stycznia 2019

Wielka Brytania będzie członkiem Unii Europejskiej do 29 marca 2019 roku. Do tego terminu przekazywanie danych osobowych do wszelkich firm i podmiotów działających na terenie Wielkiej Brytanii może odbywać się swobodnie, bez żadnych dodatkowych regulacji, które obowiązują kraje spoza UE.

W Unii Europejskiej obowiązuje zasada swobodnego przepływu danych i zgodnie z nią przekazywanie danych z naszego kraju do państwa z Europejskiego Obszaru Gospodarczego (UE, Norwegia, Islandia, Liechtenstein) jest traktowane tak samo, jakby miało miejsce na terenie Polski.

Podczas gdy trwają intensywne negocjacje pełne zwrotów akcji pomiędzy rządem Theresy May a UE dotyczące warunków wyjścia, do głosu dochodzą coraz silniejsze obawy przedsiębiorców powiązanych biznesowo z Wielką Brytanią na temat wszelkich konsekwencji Brexitu: finansowych, logistycznymi, społecznych.

Przekazywanie danych do Wielkiej Brytanii od 30 marca 2019

Po tym terminie Wielka Brytania, zgodnie z unijnymi przepisami, będzie traktowana jako państwo trzecie. A to zgodnie z rozporządzeniem RODO oznacza, że wszystkie transfery danych osobowych będą musiały spełniać dodatkowe wymogi dotyczące przekazywania danych do państw trzecich lub organizacji międzynarodowych, zgodnie z rozporządzeniem RODO. Co to oznacza dla polskich przedsiębiorców? Jak się do tego przygotować?

UODO dokładnie wyjaśnia, o co powinni zadbać administratorzy danych lub podmioty przetwarzające, którzy przekazują dane do Wielkiej Brytanii. Oprócz oczywistej rady, aby na bieżąco śledzić wszelkie informacje dotyczące procesu wyjścia Wielkiej Brytanii w UE, zadbaj o następujące kwestie:

  • Zidentyfikuj dane oraz określ, w jakich celach i na jakiej podstawie prawnej przekazujesz je do Wielkiej Brytanii,

  • Zdecyduj, czy będziesz kontynuować te transfery po 29 marca 2019 roku,

  • Wybierz i wdroż odpowiedni mechanizm lub podstawę prawną umożliwiającą przekazywanie danych,

  • W razie potrzeby zmodyfikuj wewnętrzną dokumentację przetwarzania danych, w tym rejestr czynności przetwarzania, klauzule informacyjne, istniejące wiążące reguły korporacyjne.

Przekazywanie danych do państwa trzeciego

Podstawową zasadą umożliwiającą przekazywanie danych do państwa trzeciego jest ustalenie, czy prawo tego państwa zapewnia odpowiedni poziom ochrony danych osobowych. Przekazywanie danych do państwa trzeciego może nastąpić, jeśli Komisja Europejska stwierdzi, że to państwo zapewnia odpowiedni poziom ochrony danych osobowych. Tak jest w przypadku Kanady, Nowej Zelandii i Izraela. Przekazanie danych do tych państw nie wymaga podejmowania dodatkowych działań.

UODO ostrzega: „nie jest możliwe, by KE wydała w sprawie Wielkiej Brytanii taką decyzję pod koniec marca 2019 roku. Dlatego do czasu wydania przez KE stosownej decyzji należy sprawdzić alternatywne rozwiązania, które umożliwią przekazywanie danych”.

Przedsiębiorcy powinny skorzystać ze standardowych klauzul umownych, a międzynarodowe firmy – z wiążących reguł korporacyjnych.

Więcej na ten temat na stronie: Urząd Ochrony Danych Osobowych

W jakich sytuacjach można przekazywać dane do państwa trzeciego mimo braku odpowiednich zabezpieczeń ?

Odpowiednie zabezpieczenia to np. standardowe klauzule umowne czy wiążące reguły korporacyjne. Mimo braku takich zabezpieczeń przekazywanie danych do państw trzecich jest uregulowane w art. 49 RODO. Można przekazywać dane do państwa trzeciego, jeśli:

  • Osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę. Zgoda musi:

  • być wyraźna,

  • dotyczyć konkretnie danego jednorazowego/wielokrotnego przekazania danych,

  • być świadoma, w szczególności osoba udzielająca zgody musi zdawać sobie sprawę z ewentualnego ryzyka, z którym może się wiązać przekazanie.

  • A przekazanie jest niezbędne do:

  • wykonania umowy między osobą, której dane dotyczą, a administratorem, a także do wprowadzenia w życie środków przedumownych, podejmowanych na żądanie osoby, której dane dotyczą,

  • zawarcia lub wykonania umowy będącej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną,

  • do ustalenia, dochodzenia lub ochrony roszczeń,

  • do ochrony żywotnych interesów osoby, których dane dotyczą, albo innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,

  • ze względu na ważne prawnie uzasadnione interesy administratora, przy spełnieniu dodatkowych wymogów,

  • przekazania danych z publicznego rejestru,

  • ze względu na ważny interes publiczny.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!