Brexit wymusi zmiany w RODO Unii Europejskiej

W związku z Brexit-em i brakiem umowy międzynarodowej, Wielka Brytania może być traktowana jako państwo trzecie pod względem RODO. Transfer danych będzie wymagał dodatkowych działań, chyba że KE wyda decyzję o odpowiednim poziomie ochrony danych. Przedsiębiorcy powinni przygotować się do ewentualnych zmian w przekazywaniu danych osobowych.

Tematyka: Brexit, RODO, przekazywanie danych, państwa trzecie, ochrona danych osobowych, KE, decyzje KE, transfer danych, umowy ochrony danych

W związku z wystąpieniem Wielkiej Brytanii z Unii Europejskiej bez zawarcia umowy międzynarodowej
regulującej przekazywanie danych osobowych będzie ona prawdopodobnie traktowana od 30.3.2019 r. jako
państwo trzecie na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.4.2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie
o ochronie danych, Dz.Urz.UE.L 2016.119.1, dalej jako RODO).
• W przypadku braku odpowiedniej umowy, od 30.3.3019 r. transfery danych do Wielkiej Brytanii będą musiały
spełniać dodatkowe wymogi dotyczące przekazywania danych do państw trzecich lub organizacji międzynarodowych,
które zostały określone w rozdziale V RODO.
• Przekazywanie danych do państwa trzeciego może mieć miejsce, gdy Komisja Europejska stwierdzi, że to państwo
zapewnia odpowiedni poziom ochrony danych osobowych.
• W razie objęcia Wielkiej Brytanii taką decyzją przekazywanie danych będzie dopuszczalne bez konieczności
podejmowania dodatkowych działań.
• KE dotychczas wydała takie decyzje np. wobec Kanady, Nowej Zelandii, czy Izraela.
• W razie braku stosownej decyzji KE, przedsiębiorcy mogą stosować standardowe klauzule umowne ochrony
danych, zatwierdzone przez Komisję Europejską.
W związku z wystąpieniem Wielkiej Brytanii z Unii Europejskiej zmianie mogą ulec zasady przekazywania danych do
podmiotów działających na terytorium tego państwa. Aktualnie Wielka Brytania nie podpisała żadnej
międzynarodowej umowy regulującej te zagadnienia - wyjaśnia Urząd Ochrony Danych Osobowych. Oznacza to, że
od 30.3.2019 r. państwo to może zostać potraktowane jak państwo trzecie, w związku z czym przekazywanie danych
osobowych do podmiotów działających na terytorium Wielkiej Brytanii będzie musiało odbywać się na innych niż
dotychczas zasadach.
Komisja Europejska może jednak objąć Wielką Brytanię decyzję, na mocy której przekazywanie danych do tego
państwa będzie dopuszczalne bez konieczności podejmowania dodatkowych działań. Dotychczas Komisja
Europejska wydała takie decyzje m.in. wobec Kanady, Nowej Zelandii, czy Izraela. Jednak w razie braku takiej
decyzji, przedsiębiorcy, którzy przekazują dane osobowe do podmiotów działających na terytorium Wielkiej Brytanii
będą musieli stosować standardowe klauzule umowne ochrony danych, zatwierdzone przez Komisję Europejską.
Zasada swobodnego przepływu danych osobowych w Unii Europejskiej
Do 29.3.2019 r., czyli do czasu pozostania Wielkiej Brytanii w Unii Europejskiej, przekazywanie danych do
podmiotów działających na terytorium tego państwa będzie odbywało się bez żadnych dodatkowych ograniczeń.
Transfery danych w obrębie UE korzystają bowiem z zasady swobodnego przepływu danych. Oznacza to, że
przekazywanie danych z Polski do innych państw Europejskiego Obszaru Gospodarczego (UE oraz Islandia,
Liechtenstein i Norwegia) jest traktowane tak samo, jakby miało miejsce na terenie Polski. Wymagane jest
przestrzeganie podstawowych zasad przetwarzania danych i wynikających z nich obowiązków.
Przekazywanie danych osobowych do państw trzecich
Po 30.3.2019 r., o ile Wielka Brytania nie zostanie objęta specjalną decyzją Komisji Europejskiej, będzie w świetle
RODO traktowana jako państwo trzecie. Oznacza to, że wszystkie transfery danych do tego państwa muszą spełniać
dodatkowe wymogi dotyczące przekazywania danych do państw trzecich lub organizacji międzynarodowych, które
zostały określone w rozdziale V RODO.
Urząd Ochrony Danych Osobowych podkreśla, że polscy przedsiębiorcy powinni się już wcześniej przygotować do
zmieniających się zasad przekazywania danych osobowych do Wielkiej Brytanii. Według UODO, każdy administrator
danych lub podmiot przetwarzający dane przekazywane do Wielkiej Brytanii, powinien, po pierwsze, zidentyfikować,
jakie dane, w jakich celach i na jakiej podstawie prawnej są obecnie przekazywane przez niego do Wielkiej Brytanii.
Po drugie, zdecydować, czy transfery danych będą kontynuowane po 29.3.2019 r. Po trzecie, wybrać i wdrożyć
odpowiedni mechanizm, bądź podstawę prawną, umożliwiające przekazywanie danych i w razie potrzeby
zmodyfikować wewnętrzną dokumentację przetwarzania danych, w tym rejestr czynności przetwarzania,| klauzule
informacyjne i istniejące wiążące reguły korporacyjne. Ponadto, zdaniem UODO, “przedsiębiorcy powinni śledzić

informacje dotyczące przebiegu procesu wyjścia Wielkiej Brytanii z UE, gdyż nie jest jeszcze pewne na jakich
zasadach to nastąpi, co może mieć wpływ na obowiązki związane z transferem danych”.
Co do zasady przekazywanie danych do państwa trzeciego może mieć miejsce, gdy Komisja Europejska stwierdzi,
że to państwo zapewnia odpowiedni poziom ochrony danych osobowych. W specjalnej decyzji, Komisja Europejska
określa, do jakiego państwa i na jakich zasadach, przekazywanie danych jest dopuszczalne bez konieczności
podejmowania dodatkowych działań. KE wydała takie decyzje m.in. wobec Kanady, Nowej Zelandii, czy Izraela. Jak
podkreśla UODO, przedsiębiorcy w pierwszej kolejności powinni sięgnąć po standardowe klauzule umowne ochrony
danych, które zostały zatwierdzone przez KE.

Po Brexicie przekazywanie danych do Wielkiej Brytanii może wymagać spełnienia dodatkowych wymogów zgodnie z RODO. Polscy przedsiębiorcy powinni już teraz przygotować się do ewentualnych zmian i odpowiednio dostosować procedury przetwarzania danych osobowych.