„Twardy brexit” z punktu widzenia danych osobowych
Media na bieżąco informują o trwających negocjacjach w sprawie wyjścia Wielkiej Brytanii z Unii Europejskiej, która dla wielu firm jest ważnym rynkiem handlowym. W przypadku brexitu bez umowy, wszystkie organizacje przekazujące dane osobowe na Wyspy będą miały dodatkowe zobowiązania, które obecnie jeszcze ich nie dotyczą.
„Twardy brexit” wymusi na polskich firmach konieczności uzyskania jednej z podstaw legalizujących przekazanie danych do państwa trzeciego, o których stanowi rozdział V RODO. Każdy kontrahent, usługodawca czy spółka z grupy kapitałowej, w której skład wchodzi podmiot mający siedzibę na terenie Wielkiej Brytanii, aby móc je przekazać do brytyjskiego podmiotu zobligowany będzie do zapewnienia odpowiednich gwarancji bezpieczeństwa.
Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24
W ramach współpracy przedsiębiorcy będą musieli zadbać przede wszystkim o odpowiednie klauzule umowne oraz zawieranie stosownych porozumień. Określać będą one na jakiej podstawie informacje mogłyby zostać przekazane do firm brytyjskich. Co więcej, istotnym elementem byłoby przyjęcie wiążących reguł korporacyjnych – jeśli do przekazań danych dochodziłoby w ramach grupy przedsiębiorstw (art. 46 ust 2 RODO).
Po stronie administratorów leżałaby też odpowiednia modyfikacja przygotowanej przez nich dokumentacji ochrony danych osobowych, w szczególności w zakresie klauzul informacyjnych i rejestrów czynności przetwarzania. Oznaczać będzie to znaczne utrudnienie (w tym z pewnością dodatkowe koszty) dla europejskich organizacji, które działają na rynku brytyjskim.
Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24
Pocieszającym wydaje się być jednak fakt, że w Wielkiej Brytanii przygotowywana jest odpowiednia ustawa, która w dużym stopniu będzie odpowiadać RODO. W momencie „twardego brexitu” zacznie ona być obligatoryjna, dzięki czemu nadal będzie istniał odpowiednik polskiego Urzędu Ochrony Danych Osobowych – ICO (Information Commissioner’s Office – Biuro Komisarza ds. Informacji). Co więcej, prawomocne będą nadal przyjęte już wcześniej przez Wyspy standardy określone przez RODO.
Zanim znane będą dalsze losy brexitu, przedsiębiorcy muszą działać i zidentyfikować dane osobowe przesyłane do brytyjskich organizacji oraz podjąć decyzję, co do ich dalszego przetwarzania w przypadku nastąpienia bezumownego brexitu. Nie można zapomnieć, że zgodnie z art. 83 ust. 5 RODO naruszenie przepisów związanych z przekazywaniem informacji do państw trzecich obwarowane jest administracyjną karą pieniężną sięgającą maksymalnie 20 mln euro (lub 4% całkowitego rocznego obrotu przedsiębiorstwa).
Uwaga! Wszystkie treści i materiały zamieszczane na portalu zielonalinia.gov.pl, opracowywane przez grupę redakcyjną, mają charakter informacyjny. Redakcja portalu dokłada wszelkich starań, aby informacje w nim zawarte były rzetelne i wiarygodne. Nie stanowią one wiążącej interpretacji przepisów prawnych.
