KONSEKWENCJE BREXITU DLA PRZETWARZANIA DANYCH OSOBOWYCH W WIELKIEJ BRYTANII
Podstawowa zasadą wynikającą z RODO jest zakaz transferu danych osobowych do obszarów leżących poza Europejskim Obszarem Gospodarczym, chyba że taki transfer odbywa się na podstawie jednego z mechanizmów określonych w art. 46 RODO. Zdaniem unijnego prawodawcy, przekazując dane osobowe z Unii administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, nie należy obniżać stopnia ochrony osób fizycznych zapewnianego w Unii.
Jest to szczególnie istotne w przypadku współpracy gospodarczej z Wielką Brytanią, która musi być kontynuowana, a nie rozpoczynana od zera, z uwagi na istniejące już powiązania gospodarcze i społeczne. Trudno sobie wyobrazić nagłą przerwę w kooperacji pomiędzy Zjednoczonym Królestwem a państwami Unii Europejskiej, biorąc pod uwagę wielość i zakres stosunków gospodarczych wiążących przedsiębiorców z tych podmiotów, czy chociażby kwestie związane z dotychczasową migracją pomiędzy państwami członkowskimi. Warto również wspomnieć, że Londyn od lat był europejskim centrum finansowym, ogromne ilości banków i instytucji finansowych, dostarczających swoje usługi do całej Unii Europejskiej ma siedzibę w stolicy Wielkiej Brytanii.
Wraz z opuszczeniem Unii Europejskiej, Wielka Brytania jest traktowana jako państwo trzecie, niezależnie od wieloletnich stosunków społeczno-gospodarczych, jej pozycja nie różni się znacznie od pozycji Stanów Zjednoczonych, Japonii czy Kanady. Oznacza to, że co do zasady przekazywanie danych do Wielkiej Brytanii powinno odbywać się na podstawie mechanizmów określonych w art. 46 RODO. Dotyczy to zarówno danych, które są już przetwarzane w Wielkiej Brytanii, jak również tych, które dopiero zostaną tam przekazane. Do mechanizmów umożliwiających przekazywanie danych do państw trzecich zalicza się między innymi: przekazywanie danych na podstawie decyzji Komisji Europejskiej, wiążące reguły korporacyjne, standardowe klauzule ochrony danych przyjęte przez Komisję Europejską bądź organ nadzorczy, zatwierdzone kodeksy postępowania zatwierdzone mechanizmy certyfikacji.
O wyborze mechanizmu, na podstawie którego dochodzi do przekazania danych do państwa trzeciego decyduje administrator danych. Jednocześnie Unia Europejska i Wielka Brytania, biorąc pod uwagę łączące obie strony relacje oraz konieczność kontynuowania współpracy pomiędzy obiema stronami, wypracowały szczegółowe zasady przekazywania pomiędzy tymi podmiotami.
PRZETWARZANIE DANYCH OSOBOWYCH W WIELKIEJ BRYTANII PO ZAKOŃCZENIU OKRESU PRZEJŚCIOWEGO
30 grudnia 2020 r. Unia Europejska i Wielka Brytania podpisały umowę o handlu i współpracy, która reguluje między innymi kwestię przekazywania danych osobowych pomiędzy stronami. Umowa obowiązuje jeśli do 28 lutego zatwierdzi ją Parlament Europejski i Komisja Europejska.Zgodnie z zawartym porozumieniem, do końca czerwca 2021, o ile nie zmieni się brytyjska ustawa o ochronie danych osobowych, Wielka Brytania nie będzie traktowana jako państwo trzecie w rozumieniu RODO. Oznacza to, że podmiotu chcące przekazać dane osobowe do Wielkiej Brytanii nie będą musiały korzystać z mechanizmów określonych w art. 46 RODO bądź polegać na wyjątkach wskazanych w art. 49 regulacji.
Komisja Europejska obecnie pracuje nad wydaniem decyzji uznającej adekwatny stopień ochrony gwarantowanej w Wielkiej Brytanii. Jeśli decyzja taka zostanie wydana, przekazywanie danych do tego państwa będzie znacznie ułatwione, ponieważ przekazanie danych będzie mogło być oparte właśnie o przyjętą decyzję. Jeśli Komisji Europejskiej nie uda się przyjąć decyzji uznającej adekwatność ochrony do 30 czerwca 2021 r., Wielka Brytania będzie traktowana jako kraj trzeci ze wszelkimi tego konsekwencjami.
O CZYM POWINIEN PAMIĘTAĆ ADMINISTRATOR DANYCH, JEŚLI CHCE PRZETWARZAĆ DANE W WIELKIEJ BRYTANII?
Jak wskazuje Europejska Rada Ochrony Danych, przekazanie danych osobowych do Wielkiej Brytanii po 30 czerwca 2021 r., jeśli nie zostanie wydana odpowiednia decyzja Komisji będzie w pełni podlegało zasadom wskazanym w rozdziale V RODO. Należy do nich między innymi wybór odpowiednich środków ochrony, tak aby zapewnić bezpieczeństwo przetwarzanych danych oraz zastosowanie jednego z mechanizmów transferu. Możliwe jest również skorzystanie z jednego z wyjątków określonych w art. 49 RODO, ale należy pamiętać, że ich interpretacja powinna być jak najbardziej zawężająca. Oznacza to, że nie administrator danych/podmiot przetwarzający nie może traktować ich w sposób rozszerzający i powinien się ściśle trzymać brzmienia rozporządzenia. Przede wszystkim podmioty przekazujące dane osobowe do państwa trzeciego na podstawie wspomnianych wyjątków powinny mieć świadomość, że stosuje się je do okazjonalnych, a nie powtarzalnych czynności. Nie będzie więc możliwe skorzystanie z nich w przypadku, gdy do przekazywania danych do Wielkiej Brytanii u danego przedsiębiorcy dochodzi w ramach czynności składających się na prowadzenie działalności gospodarczej.
Administrator danych decydując się na przekazanie danych do Wielkiej Brytanii powinien pamiętać, aby zastosować takie środki organizacyjne i techniczne, które zagwarantują odpowiedni poziom ochrony nie tylko w kraju pochodzenia danych, ale również u odbiorcy w Wielkiej Brytanii. Administrator jest w pełni odpowiedzialny zarówno za wybór podmiotu przetwarzającego, zawarcie z nim umowy powierzenia, wykorzystanie odpowiedniego mechanizmu transferu danych, jak również proces przetwarzania danych już w Wielkiej Brytanii. Zawierając umowę powierzenia danych z podmiotem brytyjskim należy zwrócić szczególną uwagę na wszelkie klauzule ograniczające bądź wyłączające odpowiedzialność podmiotu przetwarzającego, tak aby w przypadku naruszenia bezpieczeństwa danych i nałożenia kary przez organ nadzorczy móc dochodzić odszkodowania od strony brytyjskiej.
Przed przystąpieniem do przekazania danych do Wielkiej Brytanii warto również rozważyć przeprowadzenie analizy ryzyka i jej udokumentowanie. Taka analiza powinna zawierać zarówno rozważania dotyczące wyboru podmiotu przetwarzającego, mechanizmu transferu, jak również środki techniczne i organizacyjne zastosowane w celu zapewnienia bezpieczeństwa danych. Dotyczy to nie tylko samego przetwarzania danych w Wielkiej Brytanii, ale również momentu ich przekazania.
PODSUMOWANIE
Niezależnie od tego, czy Komisja Europejska wyda decyzję uznającą adekwatność ochrony w Wielkiej Brytanii, administrator danych powinien zadbać o to, aby poinformować podmioty danych o zmianach, jakie zaszły w przetwarzaniu ich danych osobowych. Po 30 czerwca 2021 r. administrator, który przekazuje dane do Wielkiej Brytanii, powinien w swoich klauzulach informacyjnych zamieścić informację o przekazywaniu danych do państwa trzeciego w rozumieniu RODO, jak również o stosowanych mechanizmach transferu danych.