W związku z planowanym opuszczeniem Unii Europejskiej przez Wielką Brytanię, 7 marca w Ambasadzie RP w Londynie odbyło się spotkanie pt. „Przepływ danych osobowych pomiędzy Polską, a Wielką Brytanią po Brexicie”. W spotkaniu wzięli udział Minister Cyfryzacji – Marek Zagórski, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji – dr Maciej Kawecki, oraz Maciej Groń, radca ministra. W sytuacji tzw. „twardego Brexitu”, Wielka Brytania stanie się państwem trzecim w rozumieniu rozporządzenia RODO, dlatego też eksperci Ministerstwa Cyfryzacji omówili m.in. uwarunkowania prawne przekazywania danych osobowych w warunkach bezumownego wyjścia Wielkiej Brytanii z Unii Europejskiej i praktyczne rozwiązania w tym obszarze.
Zmiany dla przedsiębiorców
Obecne zasady przekazywania danych będą obowiązywały tylko do 29 marca 2019 r. Wyjście Wielkiej Brytanii z Unii Europejskiej powoduje, że przedsiębiorcy, którzy współpracują z tamtejszymi podmiotami, muszą dokładnie przyjrzeć się danym osobowym, które im przekazują oraz zdecydować czy chcą nadal przekazywać je w zakresie w jakim robili to do tej pory. Powinni również przyjrzeć się dotychczas stosowanej w przedsiębiorstwie dokumentacji.
Standardowe klauzule umowne
Dopóki Komisja nie wyda decyzji stwierdzającej odpowiedni stopień ochrony, o której mowa w art. 45 RODO, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią przynajmniej jedno z odpowiednich zabezpieczeń oraz pod warunkiem, że w państwie tym obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej. Najbardziej praktycznym i równocześnie zalecanym przez Urząd Ochrony Danych Osobowych rozwiązaniem jest podpisanie tzw. standardowych klauzul umownych zatwierdzonych przez Komisję Europejską. Obecnie obowiązują trzy decyzje KE:
- Decyzja 2001/497/WE w sprawie standardowych klauzul umownych w związku z przekazywaniem danych osobowych do państw trzecich na podstawie Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 181/19, z 4.07.2001) została wydana przez Komisję Europejską w dniu 15 czerwca 2001 r. Wprowadzone niniejszą decyzją klauzule umowne mają zastosowanie do przekazywania danych osobowych do administratora danych w państwie trzecim. Tekst decyzji w języku polskim jest dostępny na stronie internetowej:
http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32001D0497&from=en
- Decyzja 2004/915/WE zmieniającą decyzję 2001/497/WE w zakresie alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (Dz. Urz. WE L 385/19, z 29.12.2004) została wydana przez Komisję Europejską w dniu 27 grudnia 2004 r. Powołana decyzja wprowadziła zestaw alternatywnych klauzul umownych, które administrator danych może wykorzystać w przypadku przekazywania danych do innego administratora danych w państwie trzecim. Administrator danych może więc wybrać jeden spośród dwóch zestawów standardowych klauzul umownych. Tekst decyzji w języku polskim jest dostępny na stronie internetowej:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:PL:PDF
- Decyzja Komisji 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz. Urz. UE L 39 s. 5 z 12.02.2010), została wydana w dniu 5 lutego 2010 r. Wprowadzone niniejszą decyzją standardowe klauzule umowne mają zastosowanie do przekazywania danych osobowych w przypadku powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy o ochronie danych osobowych. Tekst decyzji w języku polskim jest dostępny na stronie internetowej:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:PL:PDF
Inne obowiązki
Przedsiębiorca powinien również zweryfikować treść stosowanych przez siebie klauzul informacyjnych i jeśli do tej pory nie przekazywał danych osobowych poza Europejski Obszar Gospodarczy, poinformować osoby, których dane dotyczą o możliwości takiego transferu. Powinien również umieścić informację o transferze w rejestrze czynności przetwarzania-obligatoryjnym na gruncie RODO dokumencie.
„Miękki Brexit”
„Obszar ochrony danych osobowych jest bardzo istotny, jednak nie przewidujemy wielkich kłopotów związanych z bezumownym wyjściem Wielkiej Brytanii z UE”- wskazał Minister Marek Zagórski. Jednocześnie Ministerstwo udostępniło poradnik, który pozwala przedsiębiorcom lepiej przygotować się na taki scenariusz: ( https://www.iab.org.pl/wp-content/uploads/2019/02/Przewodnik-Brexit-compressed-1.pdf ). Zastosowanie powyższych wskazówek oraz bieżące monitorowanie stanu negocjacji z Wielką Brytanią daje szansę na „miękki Brexit” przynajmniej w swoim przedsiębiorstwie.
Ewa Banaszewska, Aplikantka Radcowska w Kancelarii Rachelski i Wspólnicy
Autor wpisu oraz Mistrz prawa na stronie rachelski.pl
Anna Domin
DYREKTOR MARKETINGU
Filozof, Absolwentka Wydziału Nauk Społecznych, Instytut Filozofii na Uniwersytecie Adama Mickiewicza w Poznaniu. Posiada 15-letnie doświadczenie w zakresie kreowanie wizerunku w oparciu o strategię marketingową 360, Specjalizuje się w obszarach związanych z marketingiem i PR, budowaniem doświadczania z marką i kreowaniem efektywnej komunikacji z rynkiem. Jej publikacje ukazywały się na łamach takich tytułów jak: Marketing i Biznes, Magazif, Design Alive, Architecture Snob, Architect@Work.