Grupa JT Weston
Grupa JT Weston:
JT WESTON ADVISORS
JT WESTON LEGAL
Projekty UE
Projekty UE
Formularz kontaktowy
Wyszukaj

Blog

HomeBusiness consultingBrexit a transfer danych osobowych
Mapa_UK

Brexit a transfer danych osobowych

by on 22 marca 2021in Business consulting, Doradztwo biznesowe, Firm, Firma No comment

Wystąpienie przez Zjednoczone Królestwo ( „Zjednoczone Królestwo” lub „UK”) z Unii Europejskiej („Unia Europejska” lub „UE”) spowodowało pojawienie się wielu praktycznych problemów w codziennym funkcjonowaniu firm.  Jednym z nierozwiązanych, na tym etapie, problemów są kwestie utrzymania swobodnego przepływu danych osobowych pomiędzy UE a UK oraz poddanie tych firm brytyjskich, które przetwarzają dane osobowe obywateli unijnych, regulacjom RODO i związane z tym wymogi (np. obowiązek wyznaczenia przedstawiciela administratora na terenie UE).

Jak jest obecnie?

Umowa o handlu i współpracy zawarta pomiędzy EU i UK 24 grudnia 2020 roku („Umowa o handlu i współpracy”) przedłużyła okres przejściowy w odniesieniu do przekazywanych z UE do UK danych osobowych na okres czterech miesięcy, z możliwością przedłużenia o maksymalnie dwa kolejne miesiące. Okres przejściowy oznacza, że przekazywanie danych osobowych do UK będzie odbywać się na zasadach sprzed wystąpienia UK z Unii Europejskiej. Po  upływie tego okresu, UK otrzyma status „kraju trzeciego” w rozumieniu RODO co wiąże się  z brakiem możliwości wolnego przepływu danych osobowych do UK na dotychczasowych zasadach.

Optymalny scenariusz – Decyzja o Adekwatności

Oczekiwany i najbardziej korzystny scenariusz dla biznesu to wydanie, przez Komisję Europejską, decyzji o adekwatności przepisów brytyjskiego prawa ochrony danych osobowych, tj. uznanie, że przepisy prawa UK zapewniają wystarczające gwarancje obywatelom UE w zakresie ochrony ich danych osobowych przekazywanych do Zjednoczonego Królestwa „Decyzja o Adekwatności”).  W rezultacie, przepływy danych pomiędzy UE a UK mogłyby się odbywać na dotychczasowych podstawach i nie byłyby konieczne żadne dodatkowe środki, aby zapewnić legalność przekazywania danych do UK.

Zarówno UE jak i UK wyraziły chęć nadania przepisom prawa brytyjskiego statusu adekwatności, jednak wydanie Decyzji o Adekwatności przez Komisję Europejską jest żmudną i czasochłonną procedurą. Konieczne jest, między innymi, uzyskanie stanowiska Europejskiej Rady Ochrony Danych oraz wszystkich państw członkowskich, zatwierdzenie projektu decyzji przez większość państw członkowskich oraz przez  kolegium komisarzy UE.

W chwili obecnej oczekujemy na projekt Decyzji o Adekwatności, który ma zostać przygotowany przez Komisję Europejską, jednak zgłaszane są poważne wątpliwości, czy w okresie przejściowym (maksymalnie do końca czerwca 2021r.) uda się przeprowadzić niezbędne procedury i wydać wiążącą Decyzję o Adekwatności.

Jednocześnie, brytyjski rząd już podjął decyzję o tym, że wszystkie 27 państw członkowskich UE oraz EOG posiadają adekwatne systemy prawne dla celów ochrony danych, zapewniając, że Brexit nie wpływa na przepływ danych z Wielkiej Brytanii do UE / EOG[1].

Co w przypadku braku Decyzji o Adekwatności?

W przypadku braku Decyzji o Adekwatności transfery danych do UK będą traktowane jak transfery danych do „krajów trzecich”. To oznacza, że będą legalne tylko pod warunkiem zapewnienia jednego z zabezpieczeń wymienionych w art. 46 RODO lub oparcia się na jednym z wyjątków opisanych w art. 49 RODO.

W praktyce, najszersze zastosowanie w transferze danych do krajów trzecich (w tym, w szczególności, w przypadku przekazywania danych do podmiotów spoza grupy kapitałowej) mają tzw. Standardowe Klauzule Umowne, tj. zestaw zobowiązań przyjętych przez Komisję Europejską, których zawarcie zapewnia właściwą ochronę podmiotom danych, a co za tym idzie, legalny transfer ich danych do importera danych.

Wydaje się więc, że przedsiębiorcy z UE udostępniający dane osobowe podmiotom mającym siedzibę w Zjednoczonym Królestwie w ramach dotychczasowych relacji biznesowych (szczególnie w zakresie wykonywanych umów) mogą zostać zmuszeni do identyfikacji takich przepływów i zawarcia ze swoim partnerami aneksów do dotychczasowych umów, spełniających wymagania Standardowych Klauzul Umownych.

Ale jest jeszcze Schrems II

Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) w wyroku z lipca 2020 roku uznał, że  tzw. Privacy Shield, tj. mechanizm certyfikacyjny  pozwalający na  transfer danych osobowych do Stanów Zjednoczonych nie daje wystarczających gwarancji ochrony podmiotom danych i nie może być podstawą do dokonywania transferów danych do USA.

Co ważniejsze –  w kontekście przepływu danych do Zjednoczonego Królestwa – TSUE rozważył również czy zobowiązania zapisane w Standardowych Klauzulach Umownych dają wystarczające gwarancje ochrony danym osobowych i, co za ty idzie, ich stosowanie  zapewnia legalność transferów danych osobowych do „krajów trzecich”.

W skrócie, TSUE uznał, że każdy podmiot planujący transfer danych do „kraju trzeciego” (tj. poza EOG) na podstawie Standardowych Klauzul Umownych jest zobowiązany do samodzielnej oceny, czy ustawodawstwo kraju, do którego dane są przesyłane daje służbom wywiadowczym prawo żądania dostępu do przesyłanych danych osobowych, a także jak chronione są obywateli UE w przypadku takiego żądania. Ocena taka powinna być dokonywana dla każdego przypadku udostępniania danych osobowych, gdyż może różnić się nie tylko w przypadku poszczególnych krajów trzecich, ale też w zależności od kategorii danych lub osób, których dane dotyczą oraz sektora, w którym działa podmiot otrzymujący dane (np.  instytucje rządowe US mają prawo żądania takich dostępów od spółek telekomunikacyjnych).

W przypadku, gdyby przepisy państwa docelowego nie dawały odpowiednich gwarancji ochrony, TSUE uznało, że zastosowanie samych Standardowych Klauzul Umownych nie wystarczy do legalnego przepływu danych.

Co ważne, TSUE dokonało powyższych ustaleń w odniesieniu do ustawodawstwa Stanów Zjednoczonych, które, w wielu aspektach, jest podobne do regulacji brytyjskich, choć niektórzy praktycy prawa wskazują, że brytyjskie przepisy dotyczące uprawnień służb wywiadowczych (w szczególności  Investigatory Powers Act 2016), zawierają więcej środków zabezpieczających uprawnienia służb niż środków zabezpieczających prawa podmiotów danych. Z drugiej strony UK podnosi, że prawa podmiotów danych[2] znajdują się centrum brytyjskich regulacji dotyczących funkcjonowania agencji wywiadu[3].

W rezultacie, podmioty przekazujące dane na podstawie klauzul muszą zmierzyć się z zadaniem samodzielnej oceny regulacji prawnych działających w krajach docelowych, co powoduje, że działają w dużej niepewności, czy podejmowane przez nich działania pozostają legalne.

Do gry wchodzi EROD

W rezultacie powyższego wyroku, Europejska Rada Ochrony Danych wydała projekt Zaleceń 01/2020 w sprawie środków dodatkowych, uzupełniających Standardowe Klauzule Umowne („Zalecenia”)[4]

Zalecenia mają na celu wsparcie administratorów danych przekazujących dane osobowe do krajów trzecich na podstawie Standardowych Klauzul Umownych poprzez wskazanie dodatkowych środków, których wdrożenie powinno zagwarantować, że transfer taki będzie dozwolony na podstawie prawa UE.

Zalecania zawierają konkretne środki i wskazują scenariusze, w których zastosowanie dodatkowych metod ma zapewnić, że przekazywane dane objęte zostaną odpowiednią ochroną.  Projekt został oddany do publicznych konsultacji i, nie przesądzając o jego ostatecznym kształcie, wskazuje na dodatkowe środki w postaci: (a) zobowiązań umownych; oraz (b) zabezpieczeń technicznych.

Przykładowo, w przypadku rozwiązań umownych, Zalecenia wskazują na dołączenie do umowy  informacji o zasadach dostępu organów publicznych do danych, co może pomóc przekazującemu dane wywiązać się z obowiązku udokumentowania oceny poziomu ochrony w państwie trzecim.

W przypadku dodatkowych zabezpieczeń technicznych, Zalecenia wskazują na szereg możliwości, w tym przede wszystkim stosowanie odpowiednich zabezpieczeń kryptograficznych. Przy tym należy wskazać, że wybrane metody szyfrowania muszą być odpowiednie do okresu przechowywania danych, a klucz służący do deszyfracji pozostawać ma w wyłącznym posiadaniu podmiotu przekazującego dane. Ponadto, możliwy powinien być także przekaz danych do tzw. chronionych odbiorców, czyli takich, którzy nie podlegają nadzorowi służb ze względu na przepisy szczególne np. dotyczące tajemnicy zawodowej prawników czy tajemnicy lekarskiej. Kluczową kwestią jest tu zapewnienie największego stopnia prywatności przesyłanych danych i uniknięcie dostępu do danych podmiotom trzecim. O ile spełnienie takiego warunku okaże się możliwe, to w danym przypadku transfer będzie dopuszczalny.

Co dalej?

Przede wszystkim oczekujemy na Decyzję o Adekwatności – wydaną w okresie przejściowym (nie dłużej niż do końca czerwca). Jeżeli Decyzja zostanie wydana, to swoboda transferu danych z UE do UK będzie utrzymana (nie ma potrzeby podejmowania dalszych działań). Jeśli zaś Decyzja nie zostanie wydana – niezbędne będzie rozważenie na jakiej podstawie prawnej możliwe jest dokonanie transferu danych do UK.

W przypadku decyzji o zastosowaniu Standardowych Klauzul Umownych konieczne będzie:

  • ustalenie przepływów danych i zawarcie odpowiednich umów z odbiorcami danych w UK;
  • dokonanie oceny czy regulacje obowiązujące w Zjednoczonym Królestwie zapewniają przekazywanym danym odpowiedni poziom ochrony przed dostępem służb wywiadowczych UK
  • uzgodnienie i wdrożenie dodatkowych środków zabezpieczających dane przed ww. służbami, gdyby takie ryzyko zostało zidentyfikowane.

[1] Using personal data in your business or other organisation – GOV.UK (www.gov.uk)

[2] www.twobirds.com/en/news/articles/2017/uk/visions-of-adequacy-uk-surveillance-powers-after-brex

[3] Explanatory Framework for Adequacy Discussions Section J2: Supplementary Material – Legislation and other documents.

[4] Wersja do konsultacji publicznych przyjęta 10 listopada 2020

Share this article
0
Tags: , , , ,

Written by

The author didnt add any Information to his profile yet

Leave a Comment

Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij
Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij