RODO po brexicie

opublikowano: 14-02-2019, 22:00

Od decyzji KE zależy, czy przekazywanie danych osobowych kontrahentom z Wysp będzie wymagało dodatkowych zabezpieczeń

Wyjście Wielkiej Brytanii z Unii Europejskiej (UE) będzie miało wpływ także na zasady transferu danych osobowych do tego kraju. Polscy przedsiębiorcy muszą się do tego przygotować, a podpowiedź znajdą w unijnym rozporządzeniu o ochronie danych osobowych (RODO).

Polska firma nie będzie musiała stosować się do
szczególnych wymagań RODO, jeśli informacje o swoich klientach przekaże
kontrahentowi w Wielkiej Brytanii bez elementów pozwalających na ustalenie
tożsamości. Dr Damian Karwala, radca prawny z kancelarii CMS, uważa, że dzięki
temu zabiegowi dane te nie będą miały charakteru danych osobowych.
Zobacz więcej

NIE DO ZIDENTY- FIKOWANIA:

Polska firma nie będzie musiała stosować się do szczególnych wymagań RODO, jeśli informacje o swoich klientach przekaże kontrahentowi w Wielkiej Brytanii bez elementów pozwalających na ustalenie tożsamości. Dr Damian Karwala, radca prawny z kancelarii CMS, uważa, że dzięki temu zabiegowi dane te nie będą miały charakteru danych osobowych. Fot. ARC

Zasady przekazywania danych osobowych do państw trzecich — bo taki status może niedługo mieć Wielka Brytania — określa rozdział V tego rozporządzenia. Obecnie w relacjach z podmiotami z tego kraju są one przekazywane i przetwarzane w Unii według jednakowych zasad.

Przegląd przepływów

— Po brexicie Wielka Brytania straci przywilej związany z udziałem w tym swoistym „wspólnym rynku danych” i wtedy trzeba będzie wprowadzić dodatkowe zabezpieczenia — mówi dr Damian Karwala, radca prawny, starszy prawnik zespołu prawa własności intelektualnej i nowych technologii w kancelarii CMS.

Jego zdaniem, gdy polskich przedsiębiorców zaczęły obowiązywać przepisy unijnej reformy, powinni oni byli zbadać w swoich firmach mapy przepływów danych, kierowanych także do państw spoza UE. Warto to powtórzyć, biorąc pod uwagę transfery na Wyspy. Wynik takiego przeglądu nie w każdym przypadku musi oznaczać podejmowanie czynności wymaganych przez RODO w relacjach z państwami trzecimi.

— Jeśli polski podmiot korzysta z usługi chmurowej dostarczanej mu przez brytyjską firmę informatyczną, to można zastanowić się i porozumieć z partnerem na Wyspach, czy na pewno przekazywane tam informacje muszą mieć postać danych osobowych, czyli pozwalających na identyfikację konkretnej osoby. Jeżeli okaże się, że nie jest to konieczne, rozwiązaniem może być ich zaszyfrowanie czy animizacja, albo inny sposób zabezpieczenia, aby można było uznać, że nie mają cech danych osobowych — wyjaśnia radca.

Nie zgadza się on zarazem z opiniami, że np. szyfrowanie nie może być do tego skutecznym narzędziem.

— Może takim być, jeżeli szyfrowanie będzie dokonane po stronie polskiej, albo dane zostaną tu zanonimizowane, czyli w szczególności „odcięte” zostaną z bazy te fragmenty, które zawierają np. imiona i nazwiska, adresy mejlowe, a pozostaną informacje niepozwalające na jakąkolwiek personalną identyfikację. Można to zrobić przed wejściem na bramkę usługi chmurowej, zapewniając dodatkowo, że

np. klucze do deszyfrowania i przywrócenia ich pierwotnej postaci ma polski podmiot. Uważam, że gdy odbiorca w Wielkiej Brytanii nie może ich odczytać, bo są zaszyfrowane albo nie może ich przyporządkować do określonych osób, to nie ma ryzyka dla osób, których dotyczą dane — podkreśla dr Damian Karwala.

Modelowe wzorce

Jego zdaniem tego rodzaju mechanizmy w zasadzie nie wymagają od polskiego przedsiębiorcy, aby już po brexicie cokolwiek zmieniał w rozwiązaniach prawnych związanych z przesyłaniem informacji do kontrahenta brytyjskiego. Jednak niekiedy ze względu na rodzaj współpracy biznesowej dane osobowe będą musiały być „widoczne” na Wyspach — i wspomniane rozwiązania w grę nie wchodzą. W zasadzie przekazywanie danych do państwa trzeciego jest możliwe bez specjalnych dodatkowych działań, gdy Komisja Europejska stwierdzi, że kraj ten zapewnia odpowiedni poziom ich ochrony. Według informacji dr Edyty Bielak- -Jomaa, prezesa Urzędu Ochrony Danych Osobowych (UODO), takie decyzje komisja wydała np. wobec Kanady, Nowej Zelandii czy Izraela. Nie wydaje się, aby w sprawie Wielkiej Brytanii zdążyła zająć stanowisko do końca marca.

— W momencie wydania takiej decyzji przez KE i jej opublikowania, będzie ona stanowić wystarczającą podstawę dla polskich firm i organizacji do przekazywania danych osobowych do Zjednoczonego Królestwa — wyjaśnia resort cyfryzacji w swoim poradniku „RODO a brexit”. Na razie firmom nie pozostaje nic innego, jak rozważyć alternatywne rozwiązania opisane w rozdziale V unijnego rozporządzenia. Według prezesa UODO, przedsiębiorcy w pierwszej kolejności powinni pomyśleć o zastosowaniu w swojej działalności modelowych klauzul umownych ochrony danych, zatwierdzonych przez KE. Obecnie obowiązują trzy takie decyzje: 2001/497/WE, 2004/915/WE i 2010/87/UE.

— Obecnie, jeśli firma skorzysta z takich gotowych wzorców, nie musi pytać polskiego organu o zgodę na przekazywanie danych. Przy czym zalecam przygotować specjalny dodatek do głównej umowy ich transferu, który będzie uzupełnieniem klauzul w niej zawartych. To dlatego, że modelowe rozwiązania nie zostały dotychczas dostosowane do wymogów RODO. Wymaga to od firm trochę pracy, ponieważ trzeba wypełnić też niezbędne załączniki do umowy transferowej, opisując w nich np. zakres przekazywanych danych, cele transferu, rodzaje wykonywanych na nich operacji i środki bezpieczeństwa, jakie podejmuje podmiot brytyjski — mówi radca z CMS.

Prezes UODO zwraca uwagę, że spółki mogą skorzystać też z wiążących reguł korporacyjnych (WRK), które wcześniej zostały zatwierdzone przez generalnego inspektora ochrony danych osobowych (GIODO) bądź jeden z organów nadzoru z państw UE.

— Polecam WRK. Są atrakcyjne, zwłaszcza dla dużych firm, które mają określone wewnętrzne procedury. Mogą one na tych regułach oprzeć operacje przekazywania danych w ramach grupy kapitałowej. Wystarczy na ich podstawie przygotować specjalne polityki firmowe, wewnętrzne kodeksy i przedstawić je wybranemu organowi nadzoru. Jeśli je zatwierdzi, urzędy z innych państw muszą je respektować — zachęca dr Damian Karwala.

Jego zdaniem, WRK są dobrym rozwiązaniem także dlatego, że w dużej mierze uwalniają od biurokracji. Ułatwiają transfery danych w grupach kapitałowych bez konieczności podpisywania dziesiątek umów w tej sprawie. Inne możliwe zabezpieczenia wymaganej ochrony, które przedsiębiorca może zastosować i powinny być one honorowane, określają np. sektorowe kodeksy postępowania przewidziane w art. 40 RODO. Ministerstwo Cyfryzacji zwraca jednak uwagę, że aby podmioty polskie mogły przyjąć je za podstawę transferu danych do Wielkiej Brytanii, konieczne jest opracowanie takich kodeksów po stronie brytyjskiej. Po brexicie przedsiębiorca powinien upewnić się, czy odbiorca danych w Zjednoczonym Królestwie podjął wiążące zobowiązanie do stosowania ich postanowień. Innym rozwiązaniem jest też uzyskanie certyfikatów dla przyjętych w firmach mechanizmów, które świadczą o przestrzeganiu zasad przetwarzania danych osobowych. W tym przypadku też trzeba będzie sprawdzić, czy brytyjski partner podjął się stosowania tego zabezpieczenia.

Polityki prywatności

Przekazywanie danych osobowych jest możliwe także wtedy, gdy nie zostaną spełnione wszystkie wymienione wcześniej warunki. Wówczas przedsiębiorca musi zastosować się do wymagań art. 49 RODO, czyli m.in. mieć uzasadnioną potrzebę przesyłania danych do Wielkiej Brytanii i zgodę na to.

Dr Damian Karwala przypomina, że osoby, których dane będą przekazywane na Wyspy po brexicie, muszą znać zasady tego transferu, w tym ochrony ich praw. Nie oznacza to jednak, że administrator musi informować o nich każdego klienta z osobna. Jeżeli ma opracowaną politykę prywatności (a powinien) i jest ona opublikowana na jego stronie internetowej bądź w innym miejscu — dostępnym dla wszystkich — do którego odsyłany jest każdy przy pozyskiwaniu od niego danych, wystarczy uzupełnić taki dokument o odpowiednie informacje o zasadach ich przetwarzania w biznesie prowadzonym z partnerem z Wielkiej Brytanii — zgodnych z wymaganiami określonymi przez RODO w relacjach z państwami trzecimi. Nie ulega wątpliwości, że przedsiębiorcy muszą zadbać też o właściwą treść wzajemnych umów z partnerami na Wyspach. Obie strony ponoszą odpowiedzialność kontraktową, konieczne są więc odpowiednie postanowienia co do konsekwencji naruszenia ochrony danych osobowych.

— Zresztą nie tylko strony umowy transferowej mogą się na nią powoływać, ale też podmioty danych — zwraca uwagę radca prawny kancelarii CMS.

Wyjątki w szczególnych sytuacjach

Art. 49 RODO dopuszcza przekazywanie danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony lub gdy podmiot nie stosuje standardowych klauzul umownych czy WRK. Jest to możliwe, pod warunkiem, że osoba, której dane dotyczą — poinformowana o ewentualnym ryzyku — wyraźnie i świadomie się na to zgodziła. Ponadto transfer danych musi być niezbędny, np. do:

  • podjęcia lub wykonania określonej umowy,
  • ustalenia, dochodzenia lub
  • ochrony roszczeń, ochrony żywotnych interesów danej osoby,
  • lub ze względu na ważne prawnie uzasadnione interesy administratora.

Sprawdź program konferencji "RODO rok po wdrożeniu", która odbędzie się już 15 ‑ 16 kwietnia 2019 w Warszawie >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu