Brexit a ochrona danych osobowych
BREXIT A OCHRONA DANYCH OSOBOWYCH
15 stycznia 2019 roku Izba Gmin odrzuciła projekt porozumienia między Londynem a Brukselą dotyczącego wyjścia Wielkiej Brytanii z Unii Europejskiej (UE). Projekt ten regulował wiele istotnych z punktu widzenia przedsiębiorców prowadzących interesy w Wielkiej Brytanii spraw, wśród nich oczywiście kwestie związane z ochroną danych osobowych. Wydaje się, że Brexit jest już w sumie przesądzony, a jedyną niewiadomą pozostają jego warunki.
ISTNIEJĄ TRZY MOŻLIWE ROZWIĄZANIA:
Zgodnie z informacją udostępnioną przez Prezesa UODO, każdy administrator danych lub podmiot przetwarzający, którzy obecnie przekazują dane do Wielkiej Brytanii, powinien:
1. Zidentyfikować, jakie dane, w jakich celach i na jakiej podstawie prawnej są obecnie przekazywane do Wielkiej Brytanii;
2. Zdecydować, czy te transfery będą kontynuowane po 29 marca 2019 r.;
3. Wybrać i wdrożyć odpowiedni mechanizm, bądź podstawę prawną umożliwiającą przekazywanie danych;
4. W razie potrzeby zmodyfikować:
a) wewnętrzną dokumentację przetwarzania danych, w tym rejestr czynności przetwarzania,
b) klauzule informacyjne,
c) istniejące wiążące reguły korporacyjne;
5. Śledzić informacje dotyczące przebiegu procesu wyjścia Wielkiej Brytanii z UE, gdyż nie jest jeszcze pewne na jakich zasadach to nastąpi, co może mieć wpływ na obowiązki związane z transferem danych.
W związku z tym niezbędne jest przeanalizowanie danych osobowych przekazywanych do Wielkiej Brytanii oraz wszelkich związanych z tym aspektów (podstaw przetwarzania, celu, itd.). Najdogodniejszym rozwiązaniem zapewniającym zgodność przekazywania danych osobowych do państw trzecich jest stosowanie standardowych klauzul umownych ochrony danych, zgodnie z Decyzjami Komisji Europejskiej (decyzja 2001/497/WE, decyzja 2004/915/WE, decyzja 2010/87/UE).
Art. 49 RODO wprowadza jednak szereg wyjątków, które zastosowanie znajdą w szczególnych przypadkach, gdy brak jest odpowiednich zabezpieczeń związanych z ochroną danych osobowych.
Możliwe jest więc przekazanie danych osobowych do państwa trzeciego w przypadku, gdy:
❖ Administrator uzyskał wyraźną zgodę osoby, której dane mają zostać przekazane i poinformował ją o ryzyku z tym związanym;
❖ Przekazanie jest niezbędne do wykonania umowy lub podjęcia środków przed umownych na żądanie osoby, której dane dotyczą;
❖ Przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
❖ Przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
❖ Przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
❖ Przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
Oczywiście najlepszym z punktu widzenia przedsiębiorców rozwiązaniem byłoby uznanie przez Komisję Europejską, że Wielka Brytania jest państwem, które zapewnia odpowiedni stopień ochrony danych osobowych (art. 45 RODO). Jednakże proces wydawania takiej decyzji trwa miesiącami lub nawet latami. Jeśli dojdzie do tzw. twardego Brexitu, to Wielka Brytania przestanie być członkiem Unii Europejskiej już od 29 marca 2019 roku, co oznacza, że Komisja Europejska nie zdąży z wydaniem stosownej decyzji. W związku tym pozostaje mieć nadzieję, iż strony opracują dogodne porozumienie w zakresie przekazywania danych osobowych do Wielkiej Brytanii.