Informacja prasowa
Warszawa, 01.04.2019 r.
„Twardy brexit” z punktu widzenia danych osobowych
Wyjście Wielkiej Brytanii ze struktur UE od początku budziło kontrowersje. Aktualnie cały czas trwają negocjacje nad jego faktycznym kształtem. W sytuacji, gdy kraj postawi na tzw. twardy brexit, czyli formę bezumowną stanie się „państwem trzecim” w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO). Z dnia na dzień obwarowałoby to transfer danych dodatkowymi, często bardzo problematycznymi warunkami, które musieliby spełnić administratorzy. Czy taki scenariusz zagraża przedsiębiorcom, którzy w ramach współpracy przekazują dane na Wyspy?
Media na bieżąco informują o trwających negocjacjach w sprawie wyjścia Wielkiej Brytanii z Unii Europejskiej, która dla wielu firm jest ważnym rynkiem handlowym. Stąd obawy oraz niepewność właścicieli przedsiębiorstw. Sytuację dodatkowo komplikują zbliżające się wybory do Parlamentu Europejskiego – wskazuje się, że 12 kwietnia 2019 r. to kluczowa data, ponieważ do tego czasu konieczne jest podjęcie decyzji co do ewentualnego uczestnictwa w wyborach. W środę 27 marca br. w Izbie Gmin miało miejsce orientacyjne głosowanie nad możliwymi scenariuszami ws. brexitu. Co ciekawe członkowie Izby nie opowiedzieli się za żadnym z poddanych pod głosowanie rozwiązań, w związku z czym piłka jest dalej w grze, a każdy ze scenariuszy ma podobne szanse na realizację, przypuszczalnie z wyjątkiem ponownego referendum – rząd Theresy May zapowiedział, że nie zamierza wycofać się z decyzji o opuszczeniu Unii Europejskiej. W przypadku brexitu bez umowy, wszystkie organizacje przekazujące dane osobowe na Wyspy będą miały dodatkowe zobowiązania, które obecnie ich jeszcze nie dotyczą.
„Twardy brexit” wymusi na polskich firmach konieczności uzyskania jednej z podstaw legalizujących przekazanie danych do państwa trzeciego, o których stanowi rozdział V RODO. Każdy kontrahent, usługodawca czy spółka z grupy kapitałowej, w której skład wchodzi podmiot mający siedzibę na terenie Wielkiej Brytanii, aby móc je przekazać do brytyjskiego podmiotu zobligowany będzie do zapewnienia odpowiednich gwarancji bezpieczeństwa – wskazuje Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.
W ramach współpracy przedsiębiorcy będą musieli zadbać przede wszystkim o odpowiednie klauzule umowne oraz zawieranie stosownych porozumień. Określać będą one na jakiej podstawie informacje mogłyby zostać przekazane do firm brytyjskich. Co więcej, istotnym elementem byłoby przyjęcie wiążących reguł korporacyjnych – jeśli do przekazań danych dochodziłoby w ramach grupy przedsiębiorstw (art. 46 ust 2 RODO).
Po stronie administratorów leżałaby też odpowiednia modyfikacja przygotowanej przez nich dokumentacji ochrony danych osobowych, w szczególności w zakresie klauzul informacyjnych i rejestrów czynności przetwarzania. Oznaczać będzie to znaczne utrudnienie (w tym z pewnością dodatkowe koszty) dla europejskich organizacji, które działają na rynku brytyjskim – dodaje Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.
Pocieszającym wydaje się być jednak fakt, że w Wielkiej Brytanii przygotowywana jest odpowiednia ustawa, która w dużym stopniu będzie odpowiadać RODO. W momencie „twardego brexitu” zacznie ona być obligatoryjna, dzięki czemu nadal będzie istniał odpowiednik polskiego Urzędu Ochrony Danych Osobowych – ICO (Information Commissioner’s Office – Biuro Komisarza ds. Informacji). Co więcej, prawomocne będą nadal przyjęte już wcześniej przez Wyspy standardy określone przez RODO.
Zanim znane będą dalsze losy brexitu, przedsiębiorcy muszą działać i zidentyfikować dane osobowe przesyłane do brytyjskich organizacji oraz podjąć decyzję, co do ich dalszego przetwarzania w przypadku nastąpienia bezumownego brexitu. Nie można zapomnieć, że zgodnie z art. 83 ust. 5 RODO naruszenie przepisów związanych z przekazywaniem informacji do państw trzecich obwarowane jest administracyjną karą pieniężną sięgającą maksymalnie 20 mln euro (lub 4% całkowitego rocznego obrotu przedsiębiorstwa).
ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.
