„Twardy brexit” z punktu widzenia danych osobowych
W sytuacji, gdy Wielka Brytania postawi na tzw. twardy brexit, czyli formę bezumowną stanie się „państwem trzecim” w rozumieniu ogólnego rozporządzenia o ochronie danych. Czy taki scenariusz zagraża przedsiębiorcom, którzy w ramach współpracy przekazują dane na Wyspy?
Media na bieżąco informują o trwających negocjacjach w sprawie wyjścia Wielkiej Brytanii z Unii Europejskiej, która dla wielu firm jest ważnym rynkiem handlowym. W przypadku brexitu bez umowy, wszystkie organizacje przekazujące dane osobowe na Wyspy będą miały dodatkowe zobowiązania, które obecnie jeszcze ich nie dotyczą.
„Twardy brexit” wymusi na polskich firmach konieczności uzyskania jednej z podstaw legalizujących przekazanie danych do państwa trzeciego, o których stanowi rozdział V RODO. Każdy kontrahent, usługodawca czy spółka z grupy kapitałowej, w której skład wchodzi podmiot mający siedzibę na terenie Wielkiej Brytanii, aby móc je przekazać do brytyjskiego podmiotu zobligowany będzie do zapewnienia odpowiednich gwarancji bezpieczeństwa.
Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24
W ramach współpracy przedsiębiorcy będą musieli zadbać przede wszystkim o odpowiednie klauzule umowne oraz zawieranie stosownych porozumień. Określać będą one na jakiej podstawie informacje mogłyby zostać przekazane do firm brytyjskich. Co więcej, istotnym elementem byłoby przyjęcie wiążących reguł korporacyjnych – jeśli do przekazań danych dochodziłoby w ramach grupy przedsiębiorstw (art. 46 ust 2 RODO).
Po stronie administratorów leżałaby też odpowiednia modyfikacja przygotowanej przez nich dokumentacji ochrony danych osobowych, w szczególności w zakresie klauzul informacyjnych i rejestrów czynności przetwarzania. Oznaczać będzie to znaczne utrudnienie (w tym z pewnością dodatkowe koszty) dla europejskich organizacji, które działają na rynku brytyjskim.
Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24
Pocieszającym wydaje się być jednak fakt, że w Wielkiej Brytanii przygotowywana jest odpowiednia ustawa, która w dużym stopniu będzie odpowiadać RODO. W momencie „twardego brexitu” zacznie ona być obligatoryjna, dzięki czemu nadal będzie istniał odpowiednik polskiego Urzędu Ochrony Danych Osobowych – ICO (Information Commissioner's Office – Biuro Komisarza ds. Informacji). Co więcej, prawomocne będą nadal przyjęte już wcześniej przez Wyspy standardy określone przez RODO.
Zanim znane będą dalsze losy brexitu, przedsiębiorcy muszą działać i zidentyfikować dane osobowe przesyłane do brytyjskich organizacji oraz podjąć decyzję, co do ich dalszego przetwarzania w przypadku nastąpienia bezumownego brexitu. Nie można zapomnieć, że zgodnie z art. 83 ust. 5 RODO naruszenie przepisów związanych z przekazywaniem informacji do państw trzecich obwarowane jest administracyjną karą pieniężną sięgającą maksymalnie 20 mln euro (lub 4% całkowitego rocznego obrotu przedsiębiorstwa).
Zobacz podobne artykuły:
Ile wie o nas Internet? Według raportu „Digital 2021” firm We Are Social i Hootsuite, z Internetu w Polsce korzysta 31,97 mln ludzi, a portali społecznościowych używa aż 25,9 mln osób. Takie liczby robią wrażenie, ale też zmuszają do zastanowienia. Korzystając z Internetu niejednokrotnie pozostawiamy po sobie ślad, poprzez udostępnienie naszych danych. Przy odpowiednim wysiłku i wiedzy można powiązać pozostawioną w Internecie treść z wybraną osobą. Zazwyczaj, to my sami decydujemy o upublicznieniu prywatnych danych w sieci, ale informacje nas dotyczące mogą być też łatwo dostępne niezależnie od naszej woli. Czy można je odnaleźć i wykorzystać w niekorzystny dla nas sposób? Ile wie o nas Internet?
3 lata z RODO – czy nasze dane osobowe są już bezpieczne? Po blisko trzech latach stosowania RODO aż 93% Polaków potwierdza, że ich pracodawca dba o kwestie ochrony danych osobowych. Warto również wiedzieć, że aż 43% osób pracujących deklaruje, że każda zatrudniona osoba w firmie jest informowana o procedurach i odbywa szkolenie. Czy według polskich pracowników, unijne rozporządzenie zwiększyło dbałość pracodawców o ochronę danych osobowych? Co jeszcze się zmieniło po wprowadzeniu nowych przepisów?
Wirtualna ochrona danych w aplikacji mObywatel. Jak nowe dowody dbają o nasze bezpieczeństwo? Jeszcze w tym roku aż 1 mln 546 tys. Polaków wymieni swój dowód osobisty na nowy – wynika z informacji podanych przez Kancelarię Prezesa Rady Ministrów. Nowe dokumenty tożsamości to efekt wejścia w życie unijnego rozporządzenia, które nakazuje wdrożenie najwyższych norm zabezpieczeń do tego typu dokumentów. Oznacza to, że po dacie 2 sierpnia 2021 roku każdy, komu skończy się ważność dowodu osobistego, jest zobligowany do jego wymiany na nowy. Czy jednak nowe dowody są bezpieczniejsze? Czy rządowa aplikacja mObywatel ochroni nas przed kradzieżą danych osobowych?
Pracownicy a znajomość ochrony danych osobowych Istotnym warunkiem prawidłowego przetwarzania danych osobowych jest odpowiedni poziom wiedzy i świadomości osób, które tego dokonują. Administrator danych osobowych nie tylko decyduje o tym, kto będzie przetwarzał, gromadzone przez niego, dane, ale również ma obowiązek zapewnienia, że osoby te zapoznają się z przepisami.
PPK a ochrona danych osobowych. Co mogą pracodawcy? Pracownicze Plany Kapitałowe są nowością dla polskich przedsiębiorców, a ich wdrożenie wymaga udostępniania danych pracowników podmiotom zewnętrznym. Przepisy te rodzą wiele wątpliwości wśród firm, co do legalności przetwarzania i przekazywania informacji, podstaw prawnych czy okresów przechowywania dokumentacji.
Kopiowanie dowodów osobistych w firmach – co naprawdę zmienia nowe prawo? Prawie każdy z nas spotkał się z kserowaniem i skanowaniem dowodów tożsamości oraz innych dokumentów, na których widniały dane osobowe. Praktykowali je zarówno pracodawcy, jak i wypożyczalnie sprzętu sportowego oraz hotele.
Kontrola UODO? Proszę bardzo Prezes Urzędu Ochrony Danych Osobowych ma prawo przeprowadzić kontrolę administratora danych osobowych, aby zweryfikować, czy dochodzi do naruszenia przepisów z tego zakresu.
3 mity na temat pozyskiwania danych osobowych w procesie rekrutacji Czy rekruter ma prawo wymagać od kandydata podania oczekiwań finansowych? W jakiej formie kandydat powinien wyrazić zgodę? Czy pracodawca powinien zrealizować wszystkie żądania kandydata, np. związane z usunięciem danych?
