RODO a Brexit – jakie będą skutki Brexitu dla polskich firm?

Pobierz alert w wersji PDF

Wszystko wskazuje, że 29 marca 2019 r. będzie ostatnim dniem Wielkiej Brytanii w Unii Europejskiej. W gorących dyskusjach na temat skutków Brexitu dla różnych gałęzi gospodarki UE niejednokrotnie zapomina się, że Brexit będzie miał istotne znaczenie dla stosowania RODO i przepływu danych osobowych z UE do Wielkiej Brytanii. Sytuacja będzie szczególnie trudna, jeśli nie dojdzie do zatwierdzenia wynegocjowanego pomiędzy Unią Europejską a Wielką Brytanią porozumienia regulującego zasady opuszczenia przez Wielką Brytanię Unii Europejskiej, które także odnosi się do stosowania RODO. Na 15 stycznia 2019 r. zaplanowano głosowanie w brytyjskiej Izbie Gmin nad tym porozumieniem, tak więc w ciągu najbliższych dni rozstrzygnie się, jaki wpływ Brexit będzie miał na przetwarzanie danych osobowych przez polskie firmy.

Aktualnie polskie firmy nie są związane żadnymi wymogami w zakresie transgranicznego przekazywania danych osobowych do Wielkiej Brytanii. Przekazywanie danych osobowych do Wielkiej Brytanii jest traktowane tak samo jak przekazywanie danych osobowych w ramach terytorium Polski, co oznacza, że muszą zostać spełnione wyłącznie warunki legalności przekazywania danych. Podstawą prawną do przekazywania danych zależności od sytuacji może być np. umowa o powierzenie przetwarzania danych osobowych, przepis prawa nakładający na administratora obowiązek przekazywania danych lub uzasadniony interes administratora danych lub osoby trzeciej (art. 6, 9 lub 28 RODO).

Wynegocjowane pomiędzy UE i Wielką Brytanią porozumienie zakłada, że po wyjściu Wielkiej Brytanii z UE tj. od 30 marca 2019 r. zacznie obowiązywać tzw. „okres wdrożeniowy”, który zakończy się 31 grudnia 2020 r. Przez cały czas jego trwania w Wielkiej Brytanii będą obowiązywać przepisy RODO oraz inne przepisy UE dotyczące przetwarzania danych osobowych. Jeśli jednak porozumienie nie zostanie zatwierdzone dojdzie do tzw. „twardego” Brexitu. Będzie to oznaczało, że z dnia na dzień RODO nie będzie już stosowane w odniesieniu do Wielkiej Brytanii tj. że Wielka Brytania stanie się tzw. „państwem trzecim” w rozumieniu RODO, co będzie miało znaczące skutki na przetwarzania danych osobowych.

Co to oznacza dla polskich firm? Uznanie Wielkiej Brytanii za „państwo trzecie” powoduje, że polskie firmy przekazujące dane osobowe np. do dostawców usług, spółek z grupy przetwarzających dane w Wielkiej Brytanii, muszą sprawdzić czy taki transfer będzie spełniał przynajmniej jeden z warunków wskazanych w Rozdziale V RODO. Do takich warunków należą np. zgoda osoby, której dane dotyczą lub konieczność wykonania umowy między administratorem a osobą, której dane dotyczą. W praktyce jednak wiele polskich firm przekazuje dane osobowe swoich pracowników i klientów, co powoduje, że możliwości skorzystania z opcji umożliwiających legalny transfer wskazanych w Rozdziale V RODO są bardzo ograniczone. Tytułem przykładu można wskazać na to, że w praktyce bardzo trudne może być pozyskanie zgody wszystkich pracowników lub klientów w terminie do 29 marca 2019 r. na przekazanie ich danych do dostawcy lub spółki z grupy przetwarzającej dane osobowe w Wielkiej Brytanii, ponadto nie każda osoba może takiej zgody udzielić (zgoda musi być dobrowolna).

W konsekwencji najszybszym i najprostszym sposobem uregulowania takiego transferu danych będzie zawarcie z dostawcą lub spółką z grupy specjalnej umowy opartej o tzw. standardowe klauzule umowne zatwierdzone przez Komisję Europejską, na podstawie których zgodnie z RODO możliwy jest transfer danych osobowych do „państw trzecich”. Jeśli  do zatwierdzenia porozumienia UE-Wielka Brytania nie dojdzie, administrator danych przekazujący dane do Wielkiej Brytanii powinien niezwłocznie rozpocząć rozmowy z dostawcą lub spółką z grupy mające na celu jak najszybsze przygotowanie i podpisanie umowy opartej na standardowych klauzulach umownych. W przeciwnym przypadku od 30 marca 2019 r. transfer danych do Wielkiej Brytanii nie będzie już możliwy na dotychczasowych zasadach. W skrajnym przypadku, przekazywanie danych do Wielkiej Brytanii może być obciążone ryzykiem nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych kary pieniężnej na firmę w wysokości do 20.000.000 EUR lub w wysokości do 4% całkowitego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa). Nie ma bowiem pewności, czy organy ochrony danych osobowych zdecydują się zastosować okres ulgowy podobny jak w przypadku decyzji Trybunału Sprawiedliwości uchylającego możliwość przekazywania danych do USA w ramach programu Bezpiecznej Przystani (Safe Harbour).