03_Co oznacza „twardy Brexit” z punktu widzenia danych osobowych ?

Sposób wyjścia Wielkiej Brytanii z UE wciąż pozostaje niejasny. Z tego względu musimy przygotować się na co najmniej dwa scenariusze. Każdy z nich będzie miał inne konsekwencje dla ochrony danych osobowych.
Pierwszy scenariusz zakłada, że Zjednoczone Królestwo opuści UE na podstawie wynegocjowanej umowy, zgodnie z którą nastąpi okres przejściowy do 31 grudnia 2020 r. W tym czasie Wielka Brytania będzie podlegać prawu unijnemu, a dane osobowe będą mogły przepływać między krajami unijnymi a Wyspami bez potrzeby wprowadzania dodatkowych zabezpieczeń.

Według drugiego scenariusza porozumienie nie zostanie zatwierdzone i dojdzie do tzw. „twardego Brexitu”. W takiej sytuacji od 29 marca 2019 r. Wielka Brytania będzie traktowana jako kraj trzeci w rozumieniu RODO, przez co transfer danych osobowych będzie mógł się odbywać tylko po spełnieniu warunków określonych w V rozdziale RODO.
Co twardy Brexit oznacza dla organizacji, które w ramach swojej działalności przekazują dane osobowe na Wyspy?
Wszystkie podmioty transferujące dane osobowe do Wielkiej Brytanii będą miały dodatkowe obowiązki, które obecnie ich jeszcze nie dotyczą. Wielka Brytania, pomimo tego że dzisiaj uznawana jest za kraj o wyjątkowo wysokiej kulturze ochrony danych osobowych, po 29 marca br. przestanie być traktowana jako kraj zapewniający adekwatny poziom ochrony.
Polskie firmy przekazujące dane osobowe na Wyspy, np. do swoich klientów, kontrahentów czy dane swoich pracowników do spółek z grupy, będą musiały sprawdzić, czy taki transfer będzie spełniał przynajmniej jeden z warunków wskazanych w Rozdziale V RODO. Transfer danych do państwa trzeciego jest bowiem możliwy pod warunkiem, że osobom, których dane dotyczą, przysługują odpowiednie prawa i gwarancje zabezpieczeń. Za właściwe gwarancje uznawane są przede wszystkim:
•    standardowe klauzule umowne, na podstawie których dane osobowe mogą zostać przekazane do podmiotu mieszczącego się na terenie państwa trzeciego. Muszą być to klauzule przyjęte przez Komisję Europejską, a stosując je w umowie nie można ich w istotny sposób zmodyfikować;
•    wiążące reguły korporacyjne, czyli zasady spełniające wymogi RODO; mają one zastosowanie w sytuacji, gdy przynajmniej jedna jednostka organizacyjna wchodząca w skład danego podmiotu ma siedzibę na terenie UE, a druga ma siedzibę w państwie trzecim. Wiążące reguły korporacyjne wiążą w takiej sytuacji każdego z członków takiej grupy przedsiębiorstw, dzięki czemu wymogi prawne dotyczące ochrony danych są spełnione;
•    zatwierdzone przez organ nadzorczy kodeksy postępowania;
•    zgoda osoby, której dane dotyczą.
Zgoda taka powinna być wyraźna, co oznacza, że oprócz spełnienia ogólnych wymogów zgody z RODO, powinna być to zgoda osoby poinformowanej i mieć postać wyraźnego oświadczenia.
Jak przekazywać dane osobowe do Wielkiej Brytanii zgodnie z prawem w razie „twardego Brexitu”?
Aby zabezpieczyć transfery danych po 29 marca 2018 roku, w praktyce najprostszym rozwiązaniem będzie przekazywanie danych osobowych na podstawie zawartej umowy transferowej z podmiotem, któremu mamy przekazać dane, w formie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską.  
„Twardy Brexit” oznacza również inne komplikacje dla przedsiębiorców:
•    zmiany w rejestrze czynności przetwarzania i rejestrze kategorii czynności przetwarzania - każdy podmiot dokonujący transferu danych do Wielkiej Brytanii będzie musiał uwzględnić to w odpowiednim rejestrze czynności / kategorii czynności przetwarzania;
•    zmiany w polityce prywatności - osoby, których dane są przetwarzane, będą musiały zostać powiadomione o tym, że ich dane są przekazywane do państwa niezapewniającego odpowiedniego poziomu ochrony oraz o zastosowanych rozwiązaniach, jakimi są, na przykład, wspomniane wcześniej standardowe klauzule umowne;
•    zawarcie umów transferowych.
Kary w tle
Warto również pamiętać, że w skrajnym przypadku przekazywanie danych do Wielkiej Brytanii może być obciążone ryzykiem nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych kary pieniężnej na firmę w wysokości:
•    do 20 milionów euro
lub
•    do 4% całkowitego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).
Wszystkich potencjalnych kłopotów uda się uniknąć, jeśli dojdzie do porozumienia między UE a Wielką Brytanią. Już niedługo przekonamy się, z którym z powyższych scenariuszy będą musieli się zmierzyć polscy przedsiębiorcy.
Jeśli chcą Państwo uniknąć kar i przygotować się na ewentualność „twardego Brexitu”, to zapraszamy do kontaktu z nami.
Joanna Tomaszewska
Partner, lider praktyki dane osobowe, własność intelektualna, TMT
joanna.tomaszewska@ssw.solutions
    Aleksandra Cisoń – Kurdziel
Adwokat w praktyce dane osobowe, własność intelektualna, TMT
aleksandra.cison-kurdziel@ssw.solutions