Eksperci w dziedzinie ochrony danych osobowych

Brexit a Rodo

ABI EXPERT

Wydanie: styczeń – marzec 2019

Jakie mogą być skutki brexitu dla przepływu danych pomiędzy Polską a Wielką Brytanią? Czy przepisy rodo znajdą zastosowanie w nowej sytuacji polityczno-gospodarczej? Co się stanie z już przetwarzanymi transgranicznie danymi?

29 marca 2019 r. Wielka Brytania po 46 latach członkostwa wystąpi z Unii Europejskiej. Opuszczenie tej organizacji przez drugą największą gospodarkę europejską to polityczne trzęsienie ziemi, tym większe, że rozpisując referendum w tej sprawie, nikt się tego nie spodziewał. Po tym gdy Brytyjczycy zdecydowali, że nie chcą dłużej pozostawać w strukturach Unii Europejskiej, okazało się, że wyprowadzenie tak dużego państwa z organizacji, której regulacje dotyczą większości obszarów gospodarki, jest bardzo trudne. Dodatkowo czas przewidziany na tę operację to mniej niż 2 lata. Jak sytuacja ta wpłynie na ochronę danych osobowych?

Jak jest teraz?

Zgodnie z art. 1 ust. 3 rodo „nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”. W obecnej sytuacji przepis ten naturalnie znajduje zastosowanie także do Zjednoczonego Królestwa. W praktyce oznacza to, że jeżeli spółka z Polski współpracuje ze spółką brytyjską, to relacja taka nie różni się od tej, która występuje w przypadku współpracy dwóch podmiotów z naszego kraju i nie trzeba spełniać żadnych dodatkowych wymagań. Na przykład jeśli powierzamy dane spółce brytyjskiej, wystarczy zawrzeć umowę, o której mowa w art. 28 rodo. Jednakże w ciągu najbliższych tygodni sytuacja może ulec diametralnej zmianie.

„Deal” czy „No deal”?

Obecnie wciąż trwają negocjacje dotyczące tego, czy wyjście Wielkiej Brytanii z Unii odbędzie się na mocy porozumienia czy też nie. Będzie miało to istotny wpływ na ochronę danych osobowych i nie tylko na to, bowiem zadecyduje o sposobie i zasadach rozstania się Wielkiej Brytanii z Unią, z którą ma tak wiele powiązań w każdym obszarze. W przypadku wyjścia za porozumieniem można się spodziewać dalszego obowiązywania rodo, co zasadniczo oznaczałoby utrzymanie obecnej sytuacji. Chociaż Zjednoczone Królestwo nie byłoby już państwem członkowskim Unii Europejskiej, to jednak rodo byłoby stosowane w tym kraju na mocy umowy międzynarodowej.

Natomiast w przypadku wyjścia bez porozumienia, Wielka Brytania zostałaby uznana za państwo trzecie, ze wszystkimi wynikającymi z tego konsekwencjami. W tym, jeśli oferowane będą towary i usługi osobom przebywającym na terenie Unii lub będzie miało miejsce ich monitorowanie, konieczne będzie wyznaczenie przedstawiciela, o którym mowa w art. 27 rodo. Okoliczność ta nie będzie miała znaczenia dla samego przekazywania danych do Wielkiej Brytanii, ponieważ nawet jeżeli spółki brytyjskie będą de facto stosować rodo, to nadal będą działać na terytorium państwa trzeciego.

Na chwilę obecną bardziej prawdopodobne wydaje się opuszczenie Unii przez Wielką Brytanię bez porozumienia, jednak należy pamiętać, że w przypadku polityki na najwyższym szczeblu trzeba być cierpliwym, bo wszystko jest możliwe, a wynik negocjacji prawdopodobnie nie będzie znany do ostatniej chwili. Aktualnie wszystkie karty są w grze.

Przepływ danych w przypadku braku porozumienia

Jeżeli nie dojdzie do zawarcia porozumienia, to do Wielkiej Brytanii z całą mocą znajdzie zastosowanie Rozdział V rodo, regulujący zasady przekazywania danych osobowych do państw trzecich. Zawiera on szereg alternatywnych mechanizmów pozwalających na przekazanie danych do państwa niebędącego członkiem Europejskiego Obszaru Gospodarczego (dalej: EOG). Na samym początku mechanizmem tym nie będzie zapewne decyzja Komisji Europejskiej o odpowiednim poziomie ochrony, bowiem nie ma fizycznej możliwości, by została ona podjęta natychmiast po opuszczeniu Unii przez Wielką Brytanię.

Potwierdzają to eksperci rządowi. Jak stwierdził dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji1, z informacji uzyskanych od Komisji Europejskiej wynika, że nie może ona podjąć żadnych formalnych kroków, ponieważ Wielka Brytania wciąż jest państwem członkowskim Unii Europejskiej. Ta procedura będzie mogła rozpocząć się dopiero po brexicie, a od tego momentu do czasu przyjęcia decyzji stwierdzającej odpowiedni poziom ochrony także musi upłynąć pewien okres. W międzyczasie trzeba będzie opierać się na mechanizmach pozwalających na przekazanie danych do państwa trzeciego.

Chociaż do przepływu danych osobowych w związku ze współpracą pomiędzy polskimi a brytyjskimi spółkami najczęściej będą stosowane przesłanki derogujące ogólny zakaz przetwarzania danych zawarte w art. 49 rodo, które zostaną opisane w dalszej części artykułu, to opis instrumentów pozwalających na transfer danych rozpoczniemy od standardowych klauzul umownych oraz wiążących reguł korporacyjnych (dalej: WRK). Szczególnie te ostatnie nie są w praktyce często wykorzystywane (korzysta z nich zaledwie kilka polskich podmiotów). Natomiast w związku z brexitem ich znaczenie będzie rosło. Standardowe klauzule umowne zostały przyjęte przez Komisję Europejską jeszcze na podstawie uprzednio obowiązującej dyrektywy 95/46/WE. Jednakże zgodnie z art. 46 ust. 5 rodo „decyzje przyjęte przez Komisję na mocy art. 26 ust. 4 dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia w razie potrzeby decyzją Komisji przyjętą zgodnie z ust. 2 niniejszego artykułu”. Zatem poprzednie decyzje nadal mogą być stosowane.

Jak do tej pory Komisja Europejska przyjęła trzy takie akty, przy czym dwa z nich, tj. decyzja 497/2001/WE oraz decyzja 915/2004/WE, dotyczą sytuacji, w której polska spółka będąca administratorem przekazuje dane do spółki brytyjskiej, która również jest administratorem. Natomiast decyzja 2010/87/UE znajduje zastosowanie, gdy polska spółka będąca administratorem przekazuje dane do spółki brytyjskiej, która występuje jako podmiot przetwarzający. Decyzje te dotyczące relacji administrator – administrator mogą być stosowane zamiennie. Są one bardzo podobne, a Komisja zdecydowała się przyjąć dwie różne decyzje po to, aby dać spółkom pewne pole manewru w wyborze bardziej odpowiadającego im rozwiązania. Stosując standardowe klauzule umowne, należy pamiętać o dwóch podstawowych kwestiach. Po pierwsze, należy właściwie określić zachodzącą relację, tj. czy dochodzi do udostępnienia danych pomiędzy administratorami, czy też do powierzenia przetwarzania danych przez administratora podmiotowi przetwarzającemu. Jest to o tyle istotne, że popełniony błąd będzie skutkował wyborem niewłaściwej decyzji, a więc finalnie transfer będzie nielegalny. Po drugie, nie można zmieniać treści przyjętych przez Komisję klauzul (naturalnie nie dotyczy to zmian, które klauzule wyraźnie dopuszczają, jak np. doprecyzowanie zasad wzajemnej odpowiedzialności spółek zgodnie z klauzulą zawartą w decyzji 2010/87/UE).

Stosowanie WRK wiąże się z pewnymi trudnościami wynikającymi z faktu, że jest to mocno sformalizowany proces. Możliwość skorzystania z dobrodziejstwa, jakim są WRK, warunkowana jest wymaganym przez art. 47 ust. 1 rodo uzyskaniem zatwierdzenia przez właściwy organ nadzorczy. W tym kontekście istnieje wątpliwość, co zrobić z WRK zatwierdzonymi przez brytyjski organ nadzorczy. Rzecznik ds. Informacji (Information Commisioneer’s Office, dalej: ICO) do momentu opuszczenia Unii Europejskiej przez Wielką Brytanię jest organem nadzorczym w rozumieniu rodo i w związku z tym ma prawo zatwierdzać wiążące reguły korporacyjne, nadając im tym samym moc w odniesieniu do podmiotów z innych krajów UE. Podobnie sytuacja wyglądała pod rządami uprzednio obowiązującej dyrektywy 95/46/WE. Również na jej podstawie ICO wydał szereg takich decyzji. Jednakże mając na uwadze, że niedługo instytucja ta utraci przymiot organu nadzorczego w rozumieniu prawa UE, powstaje wątpliwość, czy decyzje te będą nadal obowiązywać. Ponadto, w odróżnieniu od standardowych klauzul, które są już gotowe, WRK muszą dopiero zostać przygotowane i wdrożone przez spółkę, co nie jest proste i zawsze wymaga dużego zaangażowania oraz czasu.

Operacje przekazywania mogłyby również opierać się na innych mechanizmach. Należą do nich m.in. zatwierdzone kodeksy postępowania lub zatwierdzone mechanizmy certyfikacji. Pierwszy z tych instrumentów polega na tym, że podmioty wymienione w art. 40 ust. 2 rodo sporządzają kodeks postępowania, zgodnie z zasadami tam określonymi. Następnie po zatwierdzeniu takiego kodeksu przez organ nadzorczy może do niego przystąpić podmiot z państwa trzeciego, zawierając odpowiednią umowę (zgodnie z art. 40 ust. 3 rodo). Natomiast drugie z rozwiązań polega na tym, że organy nadzorcze mogą wydać specjalne zasady dobrowolnej certyfikacji, które mogą być spełnione przez podmiot z państwa trzeciego, co kończy się uzyskaniem certyfikatu od organu nadzorczego lub podmiotu certyfikującego, pozwalającego na przekazanie danych do tego podmiotu (zgodnie z art. 42 ust. 2 rodo). Mechanizmy te mogą okazać się przydatne w przyszłości, jednakże z uwagi na to, że niewiele z nich jest obecnie gotowych, nie należy się spodziewać ich użycia na dużą skalę w bliskiej przyszłości.

Poza standardowymi mechanizmami pozwalającymi na przekazanie danych osobowych art. 49 rodo zawiera również szereg wyjątków pozwalających na przekazanie danych do państwa trzeciego w określonych sytuacjach. W tym miejscu dochodzimy do rozwiązań, które będą miały największe praktyczne zastosowanie.

Prawodawca unijny w art. 49 ust. 1 lit. a rodo pozwala na przekazanie danych, jeżeli „osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku (…) wyraźnie wyraziła na nie zgodę”. W przypadku skorzystania z tego mechanizmu należy pamiętać, że zgoda na przekazanie jest czymś odrębnym od zgody jako podstawy prawnej i nie można łączyć tych dwóch elementów oraz zapominać o obowiązkowej informacji odnoszącej się do ryzyka, do której obliguje nas rodo. Art. 49 ust. 1 lit. b pozwala natomiast na przekazanie danych, jeżeli to „jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem”.

[…]

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Autorzy Omni Modo

r. pr. Tomasz Osiej
Przemysław Sierzputowski

Opcje wyszukiwania
Tylko dokładne frazy
Szukaj w tytułach
Szukaj w treści
Szukaj wg. treści
Wybierz wszystkie
Wpisy
Strony
Szkolenia
Filter by Blog Categories
Blog
Filmiki
Książki
Podcasty
Prasa
Radio i TV
Webinary

Na przykład: RODOpolityka prywatnościszkoleniaprawodokumentacjaGDPR

Michał Rygiel

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Adwokat. Ochroną danych osobowych i prawem nowych technologii zajmuje się od kilku lat.  Doświadczenie zawodowe zdobywał w firmach z branży IT oraz zajmujących się konsultingiem i doradztwem prawym w tym zakresie. Posiada również doświadczenie w obsłudze korporacyjnej w zakresie compliance ze szczególnym uwzględnieniem zagadnień ochrony danych osobowych oraz ładu korporacyjnego.

Marta Krawczyk

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Prawnik, absolwentka Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Jana Pawła II w Lublinie. Wiedzę pogłębiała m.in. podczas studiów podyplomowych Wykonywania funkcji Inspektora Ochrony Danych (INP PAN w Warszawie).

Od lat zajmuje się sprawami z zakresu prawa nowych technologii w szczególności prawem ochrony danych osobowych. Doświadczenie zawodowe zdobywała m.in. w Urzędzie Ochrony Danych Osobowych oraz Parlamencie Europejskim.

W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży produkcyjnej oraz podmiotów publicznych. Ponadto, wspomaga IOD w pełnieniu funkcji. W obszarze jej szczególnych zainteresowań leży tematyka ochrony danych przy przetwarzaniu transgranicznym oraz transferu danych do państwa trzecich.

Karol Kozieł

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny wpisany na listę radców prawnych prowadzoną przez Radę Okręgowej Izby Radców Prawnych w Kielcach, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Wiedzę  pogłębiał podczas studiów podyplomowych Prawo Nowoczesnych Technologii (INP PAN w Warszawie) oraz Nowoczesne Usługi Biznesowe (UTH w Radomiu). Ukończył programy Summer Law School on Intellectual Property Law oraz Summer Law School on Business Law organizowane przez University of Minho w Bradze.

Specjalizuje się w prawie e-commerce, ochronie konsumentów oraz  prawie ochrony danych osobowych. Doświadczenie zdobywał współtworząc i kierując działem prawnym wiodącego polskiego portalu internetowego z branży turystycznej oraz podczas pracy w kancelarii wyspecjalizowanej w prawie nowych technologii.  Autor publikacji naukowych i popularnonaukowych z zakresu ochrony danych osobowych w tym  „Komentarza do Ustawy z dnia 10 maja 2018 o ochronie danych osobowych” (współautorstwo i redakcja).  Wykładowca Wyższej Szkoły Bankowej w Warszawie.

Martyna Gosz

Adwokatka, Specjalistka ds. Ochrony Danych Osobowych

Adwokatka, absolwentka prawa Wydziale Prawa i Administracji i Ekonomii Uniwersytetu im. A. Mickiewicza w Poznaniu, a także Akademii L. Koźmińskiego w Warszawie na kierunku „Prawo Nowoczesnych Technologii”.
Specjalizuje się w zakresie ochrony danych osobowych, prawie nowych technologii, e-Commerce, a także prawie ubezpieczeń i prawie karnym. Pełniła także funkcję IODO w sektorze finansowym i ubezpieczeniowym. Od czasów studenckich angażuje się w wolontariat prawniczy (inicjatywy pro bono).
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży motoryzacyjnej i kosmetycznej oraz podmiotów publicznych. Posiada bogate doświadczenie w prowadzeniu całościowych audytów oraz wdrożeń z RODO, a także bieżącym doradztwie w zakresie przetwarzania danych osobowych.

Daniel Niwiński

Prawnik, Specjalista ds. Bezpieczeństwa Informacji

Absolwent SWPS Uniwersytetu Humanistycznospołecznego w Warszawie na kierunku Prawo, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji (ISO 27001), student wydziału Informatyki w Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. W swojej pracy zawodowej specjalizuje się w zagadnieniach związanych z bezpieczeństwem informacji, cybersecurity oraz ochroną danych osobowych. Doświadczenie zawodowe zdobywał m.in. w spółce z branży IT, w której zbudował od podstaw dział bezpieczeństwa informacji. Przez lata współprowadził również spółkę z branży handlu zagranicznego, aktywnie wspierając Zarząd zarówno w aspektach biznesowych jak i prawnych. W okresie studiów aktywnie wspierał działalność uczelni jako członek studenckiej poradni prawnej. Od 2019 roku współpracuje z Omni Modo w zakresie audytów bezpieczeństwa informacji, audytów ochrony danych osobowych oraz opracowywania i wdrażania procedur bezpieczeństwa.

Arkadiusz Rzycki

Project Manager

Absolwent Akademii Leona Koźmińskiego na kierunku „Zarządzanie procesowe”. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001. Specjalizuje się w zagadnieniach dotyczących bezpieczeństwa informacji, wymogów techniczno-organizacyjnych wynikających z przepisów RODO w zakresie bezpieczeństwa oraz przetwarzania danych osobowych, analizy ryzyka, zarządzania procesami i projektami. Doświadczenie zawodowe zdobywał w międzynarodowej instytucji finansowej. Od 2016 roku związany z Omni Modo.  Posiada długoletnie doświadczenie w zakresie zarządzania, realizacji projektów (w tym zapewniających zgodność z obowiązującymi przepisami prawa).  Przeprowadza audyty, szkolenia, opracowuje i wdraża dokumentację niezbędną do osiągnięcia celów realizowanych procesów, zgodności z wymogami organizacji, wdrażanych systemów zarządzania, jak również przepisów prawa.

Wojciech Habrowski

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie.

Zajmuje się sprawami z zakresu prawa ochrony danych osobowych, szeroko pojętego prawa cywilnego, w szczególności prawa zobowiązań, prawa gospodarczego oraz prawa pracy. Doświadczenie zawodowe zdobywał w renomowanych kancelariach radców prawnych, a także w kancelarii notarialnej.

W Omni Modo, do jego obowiązków należy bieżące doradztwo na rzecz klientów, wsparcie IOD, przeprowadzanie audytów zgodności z RODO oraz szkoleń. Odpowiada m.in. za obsługę klientów z branży energetycznej .