BREXIT a RODO

RODO w rozdziale 5 wymienia warunki, jakie muszą zostać spełnione, aby można było legalnie przekazać dane osobowe do państwa trzeciego. Konstrukcja przepisów ma charakter „kaskadowy”. Po kolejne rozwiązania należy sięgać w przypadku gdy nie można spełnić warunków uregulowanych w przepisach wcześniejszych – począwszy od art. 45, który wskazuje, że podstawą przekazania może być decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony. Komisja wydała szereg takich decyzji, uznając za kraje bezpieczne: Andorę, Argentynę, Australię, Izrael, Kanadę, Nową Zelandię, Szwajcarię oraz tereny częściowo zależne – Jersey, Wyspy Owcze, Wyspę Man oraz Guernsey. W dniu 12 lipca 2016 r. Komisja Europejska wydała również decyzję wykonawczą (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA,  która umożliwia przekazywanie danych osobowych importerom, którzy przystąpią do tego programu. Obecnie Komisja Europejska nie pracuje nad decyzją, która stwierdzałaby odpowiedni stopień ochrony Wielkiej Brytanii po opuszczeniu przez nią wspólnoty europejskiej. Po 30 marca należy zatem szukać innego rozwiązania prawnego.

W razie braku decyzji administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią właściwe zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46 RODO).

Właściwe zabezpieczenia, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:

• prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
• wiążących reguł korporacyjnych zgodnie z art. 47 RODO;
• standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
• standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
• zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;
• zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

W razie uzyskania zezwolenia właściwego organu nadzorczego, odpowiednie zabezpieczenia, o których mowa powyżej, można także zapewnić w szczególności za pomocą:

• klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim (lub organizacji międzynarodowej); lub
• postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

Ze wstępnej analizy Grupy Roboczej niestety wynika, że wiążące reguły korporacyjnie zatwierdzone dotychczas przez ICO (Information Commissioner Office – brytyjski organ nadzorczy) nie pozostaną w mocy.

Zgodnie z art. 49 ust. 1 RODO,  w sytuacji braku decyzji stwierdzającej odpowiedni stopień ochrony, jak i braku odpowiednich zabezpieczeń uregulowanych w art. 46 RODO, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego (lub organizacji międzynarodowej) może nastąpić tylko pod warunkiem, że:

• osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
• przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
• przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
• przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
• przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
• przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
• przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Jeżeli przekazanie nie może się opierać na art. 45 ani 46 RODO, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania ani jeden z wyjątków mających zastosowanie w szczególnych sytuacjach opisanych powyżej, przekazanie do państwa trzeciego może nastąpić wyłącznie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. Administrator informuje organ nadzorczy o przekazaniu. Poza informacjami, o których mowa w art. 13 i 14 RODO, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

W najgorszym wypadku  – czyli wyjściu Wielkiej Brytanii z Unii Europejskiej bez zawartej umowy (na zasadzie „twardego wyjścia”, „no deal Brexit”) oprócz legalizacji transferu danych na zasadach opisanych powyżej, administratorzy i podmioty przetwarzające muszą pamiętać o innych obowiązkach wynikających z RODO. W szczególności konieczna będzie odpowiednia aktualizacja obowiązków informacyjnych (art. 13 i 14 RODO) oraz zmiany w rejestrze czynności i kategorii czynności przetwarzania (art. 30 RODO).