Brexit i jego konsekwencje dla przetwarzania danych osobowych

05/02/19

Konsekwencje wyjścia Zjednoczonego Królestwa z Unii Europejskiej mogą być poważne. Jakie są ryzyka i możliwe scenariusze z perspektywy zarządzania danymi osobowymi?

Ryzyko

Konsekwencje wyjścia Zjednoczonego Królestwa z Unii Europejskiej mogą być poważne. W przypadku braku porozumienia i przyjęcia decyzji o adekwatności standardów ochrony danych w UK, państwo to będzie uznawane za „państwo trzecie”- jak Chiny czy Indie. Spółki przekazujące dane do Zjednoczonego Królestwa mogą nie mieć do tego podstaw prawnych.

Transfer danych do państwa trzeciego bez podstawy prawnej może skutkować nałożeniem kary - do 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu.

Status rozmów

W ostatnich miesiącach rząd Zjednoczonego Królestwa przyznał, że żadne istotne rozmowy dotyczące przekazywania danych do pozostałych krajów członkowskich UE nie zostały rozpoczęte. W ostatnich dniach, przedstawiciele ambasady oraz ICO (organu nadzorczego ochrony danych) organizowali liczne spotkania z przedstawicielami pozostałych krajów członkowskich, w tym z PUODO oraz Ministerstwem Cyfryzacji. Polityczną wolą rządu UK jest przyjęcie okresu przejściowego, zgodnie z którym RODO i pozostałe akty prawne UE obowiązywałyby w Zjednoczonym Królestwie do końca 2020 r.

Jak dotąd, żadne formalne decyzje nie zapadły. Co więc wiemy do tej pory?

Scenariusze

Najbardziej prawdopodobnym scenariuszem jest „twardy Brexit” bez porozumienia od 31 marca 2019 r. Oznaczać to będzie, że Zjednoczone Królestwo zostanie krajem trzecim a przekazywanie danych osobowych będzie musiało odbywać się w zgodzie z przepisami rozdziału V RODO.

Takie przekazywanie danych osobowych może odbywać się, w szczególności w oparciu o:

  • decyzja dotycząca adekwatności ochrony danych
  • wiążące reguły korporacyjne
  • kodeksy postępowania
  • mechanizmy certyfikacji
  • standardowe klauzule umowne;
  • zgodę podmiotu danych;
  • inne wyjątki w szczególnych sytuacjach.

Na obecnym etapie nie ma informacji, czy decyzja dotyczą adekwatności zostanie przyjęta. Biorąc pod uwagę liczbę spraw dotyczących masowej inwigilacji wnoszonych przeciwko Zjednoczonemu Królestwu w Europejskim Trybunale Praw Człowieka, wielu ekspertów spodziewa się skargi do Europejskiego Trybunału Sprawiedliwości na taką decyzję jeżeli decyzja zostanie wydana. Trybunał może unieważnić decyzję, podobnie jak w przypadku przekazywania danych do USA w słynnej sprawie Schremsa.

Szybkie rozwiązanie

Przekazywanie będzie dozwolone dla tych przedsiębiorców, którzy już stosują w transferach

  • wiążące reguły korporacyjne, albo
  • zatwierdzone kodeksy, albo
  • mechanizmy certyfikacji.

Dla pozostałych, najlepszym i najszybszym rozwiązaniem jest przyjęcie standardowych klauzul ochrony danych, choć dla organizacji przekazujących wiele danych, inne rozwiązania mogą okazać się lepsze dla zaspokojenia średnio- i długo-terminowych potrzeb biznesowych. Nawet po wybraniu standardowych klauzul ochrony danych, organizacja potrzebuje czasu, żeby przygotować umowę oraz wynegocjować jej warunki, co zwykle może zająć nawet kilka miesięcy.

Co zrobić i jak możemy w tym pomóc?

Co musisz zrobić, jeżeli przekazujesz dane osobowe do Zjednoczonego Królestwa?

Rekomendujemy przegląd przekazywania danych, umów o przekazywanie danych oraz podstaw prawnych takiego przekazywania. W razie potrzeby możemy pomóc Państwu w wyborze odpowiedniej podstawy przekazywania danych i przygotowania dokumentacji.

Możliwe także, że nieunikniona będzie aktualizacja klauzul informacyjnych o informacje o przekazywaniu danych do państwa trzeciego.

 

Skontaktuj się z nami

Gerard Karp

Partner PwC Legal, Lider TMT/IP i Ochrony Danych Osobowych, Adwokat, PwC Polska

Tel.: +48 502 184 707

Arwid Mednis

Partner PwC Legal, Lider TMT/IP i Ochrony Danych Osobowych, Radca Prawny, PwC Polska

Tel.: +48 510 087 786

Karolina Gałęzowska

Associate

Tel.: +48 519 506 842

Obserwuj nas