W naszym styczniowym alercie, analizowaliśmy skutki prawne, jakie będzie nieść ze sobą opuszczenie przez Wielką Brytanię Unii Europejskiej z perspektywy RODO. Wówczas wydawało się, że przegłosowanie wynegocjowanego pomiędzy Unią Europejską a Wielką Brytanią porozumienia regulującego zasady opuszczenia przez Wielką Brytanię Unii Europejskiej (w tym zasady dotyczące tzw. okresu przejściowego) jest najbardziej prawdopodobnym scenariuszem rozstania z Wielką Brytanią. Wydarzenia ostatnich miesięcy prowadzą jednak do wniosku, że opuszczenie Unii Europejskiej bez wynegocjowanego porozumienia staje się coraz bardziej realne. Widmo bezumownego tzw. „twardego” Brexitu (hard Brexit) spędza sen z powiek nie tylko polityków, ale także tysięcy europejskich firm, które przetwarzają dane osobowe w Wielkiej Brytanii. Co można zrobić, żeby zabezpieczyć przepływ danych osobowych na wypadek czarnego scenariusza?
W przypadku „twardego” Brexitu Wielka Brytania z dnia na dzień stanie się „państwem trzecim” w rozumieniu RODO. Uznanie Wielkiej Brytanii za „państwo trzecie” spowoduje, że europejskie, w tym polskie firmy przekazujące dane osobowe np. do dostawców usług, spółek z grupy przetwarzających dane w Wielkiej Brytanii, będą musiały wstrzymać transfer danych, chyba że zapewnią, że taki transfer będzie spełniał przynajmniej jeden z warunków wskazanych w Rozdziale V RODO. Do takich warunków należą np. zgoda osoby, której dane dotyczą lub konieczność wykonania umowy między administratorem a osobą, której dane dotyczą.
W przypadku Polski, w praktyce wiele polskich firm przekazuje do Wielkiej Brytanii dane osobowe swoich pracowników i klientów co powoduje, np. uzyskanie zgód w krótkim czasie nie będzie możliwe, a ponadto wydaje się być uciążliwym i niepewnym rozwiązaniem. Jak więc szybko i w prosty sposób zapewnić możliwość legalnego transferu danych do Wielkiej Brytanii? Najprościej będzie, jeśli polska firma zawrze z dostawcą lub spółką z grupy przetwarzającą dane osobowe w Wielkiej Brytanii umowę opartą o tzw. standardowe klauzule umowne (SKU). W skrócie: SKU to zatwierdzone przez Komisję Europejską wzory umów, które umożliwiają legalny transfer danych do innego podmiotu przetwarzającego dane w „państwie trzecim”.
Zasadniczo można wyróżnić dwa rodzaje SKU. Odnosząc to do realiów polskich i potencjalnego „twardego” Brexitu, można wyróżnić: (1) SKU, które należy zastosować do transferu danych przez polskiego administratora danych do administratora danych przetwarzającego dane w Wielkiej Brytanii, oraz (2) SKU, które należy zastosować w przypadku transferu danych przez polskiego administratora danych do podmiotu przetwarzającego dane (procesora) w Wielkiej Brytanii. SKU nie muszą być zatwierdzane przez żadne organy, wystarczające jest samo podpisanie SKU. Na przykład SKU można zawrzeć w formie załącznika do dotychczasowej umowy o powierzenie przetwarzania danych osobowych. Ze względu na to, że ciągle nie ma pewności jak potoczą się losy Brexitu, zawarcie SKU można połączyć z klauzulą zawierającą zastrzeżenie, że SKU wejdą w życie wyłącznie w przypadku „twardego” Brexitu.
Sytuacja może być jednak dużo bardziej skomplikowana. W szczególności, jeżeli polska firma, która sama przetwarza dane jako podmiot przetwarzający (procesor) na zlecenie swojego klienta np. z Polski (administratora), współpracuje z podwykonawcą przetwarzającym dane w Wielkiej Brytanii (pod-procesorem). Niestety SKU nie mogą zostać użyte w tym przypadku, tj. nie mogą zostać zastosowane do transferu danych z polskiej firmy (procesora) do podwykonawcy (pod-procesora) w Wielkiej Brytanii. W takiej sytuacji polska firma (procesor), powinna niezwłocznie skontaktować się ze swoim klientem (administratorem), w celu uzyskania pełnomocnictwa do zawarcia w imieniu klienta SKU z podwykonawcą lub powinna zapewnić zawarcie SKU bezpośrednio pomiędzy klientem (administratorem), a swoim podwykonawcą (procesorem). W przeciwnym wypadku współpraca z podwykonawcą, nie będzie mogła być dalej kontynuowana (chyba, że zachodzą inne przesłanki umożliwiające transfer wskazane w Rozdziale V RODO).
Niezależnie od zapewnienia instrumentu umożliwiającego legalny transfer danych osobowych do Wielkiej Brytanii, polska firma, która jest administratorem danych, powinna być przygotowana na zmodyfikowanie swoich polityk prywatności / informacji o przetwarzaniu danych. Zgodnie z art. 13 ust. 1 lit. f) RODO oraz art. 14 ust. 1 lit. f) RODO, osoby, których dane są przetwarzane, powinny zostać poinformowane o zamiarze przekazania danych do „państw trzecich”, z więc potencjalnie także do Wielkiej Brytanii w razie „twardego” Brexitu. Należy zwrócić uwagę, że w tym przypadku konieczne jest także zawarcie wzmianki o odpowiednich i właściwych zabezpieczeniach oraz informacji o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
W ramach przygotowań na wypadek „twardego” Brexitu 15 marca 2019 r. uchwalono w Polsce trzy ustawy regulujące niektóre kwestie związane z „twardym” Brexitem, które mają wejść w życie z chwilą jego zaistnienia, ustawy te jednak nie regulują kwestii przepływu danych osobowych. Najbliższe dni przyniosą rozstrzygnięcie co dalszych losów Brexitu – niezależnie od tego warto mimo wszystko przygotować się na wypadek „twardego” Brexitu pod kątem danych osobowych.