Brexit a przepływ danych osobowych

Co z naszymi danymi po Brexicie?

Niemal codziennie słyszymy o nowych konsekwencjach wyjścia Wielkiej Brytanii z Unii Europejskiej i wiążących się z tym problemach.

Jednym z nich jest kwestia przepływu danych osobowych pomiędzy państwami Wspólnoty a Zjednoczonym Królestwem, szczególnie newralgiczna od niemal roku, kiedy to zaczęliśmy stosować przepisy RODO.

Polecamy: Serwis Inforlex RODO 3 m-ce + książka RODO dla kadrowych i HR

Jak daleko sięga RODO?

Standardy określone Rozporządzeniem dotyczą przypadków przetwarzania danych osobowych:

• w związku z działalnością administratora lub podmiotu przetwarzającego prowadzoną na terenie Unii, niezależnie od tego, czy samo przetwarzanie odbywa się w obrębie UE, a także
• w związku z oferowaniem towarów lub usług oraz monitorowaniem zachowania osób przebywających na ternie Unii, nawet jeśli administrator lub podmiot przetwarzający nie rezyduje w żadnym z krajów członkowskich.

Obecnie więc przepływ danych osobowych do Wielkiej Brytanii odbywa się na takich samych zasadach, jak dzieje się to w obrębie naszego kraju.

Tymczasem, w przypadku tzw. „twardego Brexitu”, tj. opuszczenia struktur UE bez zawarcia odpowiednich porozumień pomiędzy Unią a Wielką Brytanią, stałaby się ona de facto państwem trzecim. To natomiast powodowałoby, że transfer danych na jej terytorium wymagałby każdorazowo spełnienia dodatkowych warunków.

Obowiązujące w całej Unii RODO nie wyłącza przekazywania danych osobowych do państw spoza Wspólnoty. Określa jednak szczegółowe zasady dotyczące weryfikacji ich poziomu bezpieczeństwa w tym zakresie. Opierają się one na:

• systemie decyzji dotyczących oceny odpowiedniego stopnia ochrony wydawanych przez Komisję Europejską, która może uznać Wielką Brytanię za kraj bezpieczny, a przez to zapewnić możliwość przepływu danych de facto na analogicznych, jak obecnie warunkach;
• wiążących regułach korporacyjnych – przewidzianych dla grup przedsiębiorców prowadzących wspólną działalność gospodarczą;
• standardowych klauzulach ochrony danych przyjętych przez Komisję lub organ nadzorczy stosowanych pomiędzy stronami kontraktów;
• zatwierdzonych kodeksach postępowania dla poszczególnych branż orazzatwierdzonych mechanizmach certyfikacji - zaświadczających o zgodności przetwarzania ze standardami wyznaczonymi przez Rozporządzenie.

Oznacza to przede wszystkim, że „twardy Brexit”, za którym nie pójdą szczegółowe uzgodnienia dotyczące wzajemnych relacji w zakresie przepływu danych, wymuszać będzie konieczność „legalizacji” dokonywanych transferów danych zgodnie w opisanymi wymogami RODO.

Wspólne porozumienie czy brytyjska wersja RODO?

Na chwilę obecną przyjmuje się 2 prawdopodobne rozwiązania dotyczące uregulowania kwestii przetwarzania danych w kontaktach pomiędzy Wielką Brytanią a resztą państw członkowskich po - wydaje się – jej nieuniknionym wystąpieniu ze Wspólnoty.

Pierwsze z nich oparte na negocjowanym pomiędzy Komisją Europejską a Zjednoczonym Królestwem porozumieniu zakłada 2 - letni okres wdrożeniowy po wyjściu Wielkiej Brytanii z Unii. W jego trakcie, tj. 31 grudnia 2020 r., obowiązywać miałyby dotychczasowe zasady przepływu danych. Oznacza to, że dane osobowe między Polską a Wyspami wciąż mogłyby być przekazywane na obecnych warunkach.

Drugie dotyczy pojawiających się informacji o tym, iż w Wielkiej Brytanii trwają obecnie prace nad ustawą, która zawierać ma analogiczne do RODO przepisy. Tym samym, jeśli dojdzie do twardego wystąpienia ze Wspólnoty, istnieje szansa, że Wielka Brytania przyjmie własne przepisy, które utrzymają w mocy przyjęte przez nią standardy nałożone przez RODO, a których to, jako dotychczasowy członek Unii, musiała przestrzegać.

Takie rozwiązanie z pewnością ułatwiłoby drogę do uzyskania pozytywnej opinii Komisji Europejskiej w zakresie gwarantowania odpowiedniego poziomu bezpieczeństwa w ochronie danych, pomimo posiadania statusu państwa trzeciego.

Uspokajać ma fakt, iż w ostatnich tygodniach prowadzone są intensywne spotkania i ustalenia pomiędzy przedstawicielami Zjednoczonego Królestwa oraz pozostałych państw członkowskich, w tym Polski. Dotyczą one najistotniejszych dla międzynarodowego handlu i współpracy kwestii, jak sytuacja pracowników delegowanych, tymczasowych, czy wykonawców realizujących inwestycje na Wyspach.

Exit nie oznacza zamknięcia bram

Co jednak najważniejsze, nawet ewentualny „twardy Brexit” nie spowoduje całkowitej blokady transferu danych pomiędzy Polską a Wyspami. W zależności od ostatecznego wyniku negocjacji oraz przyjętych rozwiązań prawnych w samej Wielkiej Brytanii może przebiegać - przynajmniej przez kolejne 2 lata - na zasadach dotychczasowej swobody przepływu danych lub pociągać za sobą dodatkowe obowiązki w związane z weryfikacją i uzasadnieniem bezpieczeństwa ochrony danych obowiązującego w Zjednoczonym Królestwie jako państwie obcym dla Wspólnoty Europejskiej.

Polecamy serwis: Prawa konsumenta