W dniu 3 stycznia 2018 r. w Ministerstwie Cyfryzacji odbyło się posiedzenie planarne Grupy Roboczej ds. Ochrony Danych Osobowych, której członkiem jest nasz ekspert – Anna Mrozowska. Głównym tematem dyskusji były konsekwencje wystąpienia Wielkiej Brytanii z Unii Europejskiej w kontekście RODO oraz transferu danych.
Jak wskazał prowadzący spotkanie dr Maciej Kawecki (Dyrektor Departamentu Zarządzania Danymi MC), BREXIT zbliża się wielkimi krokami i należy przygotować się na tzw. „twarde wyjście”, bez umowy regulującej późniejsze relacje między Wielką Brytanią w Unią Europejską. Przypomnijmy, że ma ona opuścić wspólnotę 30 marca 2019 o godz. 00:00 (29 marca 2019 o godzinie 23.00 wg czasu brytyjskiego). Jeżeli nie nastąpi przedłużenie negocjacji lub umowa nie zostanie zawarta powstanie chaos prawny, również w aspekcie danych osobowych.
Wielka Brytania – państwo trzecie
W momencie wystąpienia z UE Wielka Brytania stanie się państwem trzecim w rozumieniu rozporządzenia ogólnego o ochronie danych 2016/679 (dalej „RODO”) ze wszystkimi konsekwencjami wynikającymi z tego aktu prawnego. Obudzimy się w nowej rzeczywistości prawnej – bardzo często korzystamy bowiem z hostingu, aplikacji oraz innych usług elektronicznych dostarczanych przez podmioty brytyjskie. Szereg problemów pojawi się również np. na gruncie usług turystycznych, ubezpieczeniowych czy pośrednictwa pracy.
Aby zalegalizować transfer danych do Wielkiej Brytanii po 30 marca 2019 r. będzie trzeba oprzeć się na zasadach ogólnych tyczących się przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych – uregulowanych w rozdziale 5 RODO.
Kiedy można przekazać dane do Państwa trzeciego?
RODO w rozdziale 5 określa warunki, jakie muszą zostać spełnione, aby można było legalnie przekazać dane osobowe do państwa trzeciego. Konstrukcja przepisów ma charakter „kaskadowy”. Po kolejne rozwiązania należy sięgać w przypadku niemożności spełnienia warunków uregulowanych w przepisach wcześniejszych – począwszy od art. 45, który wskazuje, że podstawą przekazania może być decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony. Komisja wydała szereg takich decyzji, uznając za kraje bezpieczne: Andorę, Argentynę, Australię, Izrael, Kanadę, Nową Zelandię, Szwajcarię oraz tereny częściowo zależne – Jersey, Wyspy Owcze, Wyspę Man oraz Guernsey. W dniu 12 lipca 2016 r. Komisja Europejska wydała również decyzję wykonawczą (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA, która umożliwia przekazywanie danych osobowych importerom, którzy przystąpią do tego programu. W chwili obecnej Komisja Europejska nie pracuje nad decyzją, która stwierdzałaby odpowiedni stopień ochrony Wielkiej Brytanii po opuszczeniu przez nią wspólnoty europejskiej. Po 30 marca należy zatem szukać innego rozwiązania prawnego.
W razie braku decyzji administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46 RODO).
Odpowiednie zabezpieczenia, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:
- prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
- wiążących reguł korporacyjnych zgodnie z art. 47 RODO;
- standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
- standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
- zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;
- zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.
Pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego, odpowiednie zabezpieczenia, o których mowa powyżej, można także zapewnić w szczególności za pomocą:
- klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim (lub organizacji międzynarodowej); lub
- postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.
Ze wstępnej analizy Grupy Roboczej niestety wynika, iż wiążące reguły korporacyjnie zatwierdzone dotychczas przez ICO (Information Commissioner Office – brytyjski organ nadzorczy) nie pozostaną w mocy.
Zgodnie z art. 49 ust. 1 RODO, w razie braku decyzji stwierdzającej odpowiedni stopień ochrony, jak i braku odpowiednich zabezpieczeń uregulowanych w art. 46 RODO, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego (lub organizacji międzynarodowej) może nastąpić wyłącznie pod warunkiem, że:
- osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
- przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
- przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
- przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
- przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
- przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
- przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.
Jeżeli przekazanie nie może się opierać na art. 45 ani 46 RODO, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania żaden z wyjątków mających zastosowanie w szczególnych sytuacjach opisanych powyżej, przekazanie do państwa trzeciego może nastąpić wyłącznie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. Administrator informuje organ nadzorczy o przekazaniu. Poza informacjami, o których mowa w art. 13 i 14 RODO, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.
Zmiany w wewnętrznej dokumentacji
W przypadku ziszczenia się czarnego scenariusza – wyjścia Wielkiej Brytanii z Unii Europejskiej bez zawartej umowy (na zasadzie „twardego wyjścia”, „no deal Brexit”) oprócz legalizacji transferu danych na zasadach opisanych powyżej, administratorzy i podmioty przetwarzające muszą pamiętać o innych obowiązkach wynikających z RODO. W szczególności konieczna będzie odpowiednia aktualizacja obowiązków informacyjnych (art. 13 i 14 RODO) oraz zmiany w rejestrze czynności i kategorii czynności przetwarzania (art. 30 RODO).
Podsumowanie
Najkorzystniejszym i najprostszym rozwiązaniem byłoby bez wątpienia uznanie decyzją Komisji Europejskiej, że Wielka Brytania jest krajem o odpowiednim stopniu ochrony danych (zgodnie z art. 45 RODO). W takim przypadku jedyne co przedsiębiorcy musieliby zrobić to zaktualizować obowiązki informacyjne oraz wewnętrzną dokumentację. Nie byłoby problemu w przypadku wynegocjowania porozumienia. Dwuletni okres przejściowy dałby Komisji czas na wydanie stosownej decyzji. „Twarde wystąpienie” z UE (na które niestety się zanosi) spowoduje jednak, iż przez co najmniej kilka miesięcy przedsiębiorstwa będą musiały sobie jednak radzić bez takiej decyzji, na podstawie wskazanych w artykule przesłanek legalizujących transfer (art. 46 – 49 RODO).