ABI EXPERT
Wydanie: styczeń – marzec 2019
Jakie mogą być skutki brexitu dla przepływu danych pomiędzy Polską a Wielką Brytanią? Czy przepisy rodo znajdą zastosowanie w nowej sytuacji polityczno-gospodarczej? Co się stanie z już przetwarzanymi transgranicznie danymi?
29 marca 2019 r. Wielka Brytania po 46 latach członkostwa wystąpi z Unii Europejskiej. Opuszczenie tej organizacji przez drugą największą gospodarkę europejską to polityczne trzęsienie ziemi, tym większe, że rozpisując referendum w tej sprawie, nikt się tego nie spodziewał. Po tym gdy Brytyjczycy zdecydowali, że nie chcą dłużej pozostawać w strukturach Unii Europejskiej, okazało się, że wyprowadzenie tak dużego państwa z organizacji, której regulacje dotyczą większości obszarów gospodarki, jest bardzo trudne. Dodatkowo czas przewidziany na tę operację to mniej niż 2 lata. Jak sytuacja ta wpłynie na ochronę danych osobowych?
Jak jest teraz?
Zgodnie z art. 1 ust. 3 rodo „nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”. W obecnej sytuacji przepis ten naturalnie znajduje zastosowanie także do Zjednoczonego Królestwa. W praktyce oznacza to, że jeżeli spółka z Polski współpracuje ze spółką brytyjską, to relacja taka nie różni się od tej, która występuje w przypadku współpracy dwóch podmiotów z naszego kraju i nie trzeba spełniać żadnych dodatkowych wymagań. Na przykład jeśli powierzamy dane spółce brytyjskiej, wystarczy zawrzeć umowę, o której mowa w art. 28 rodo. Jednakże w ciągu najbliższych tygodni sytuacja może ulec diametralnej zmianie.
„Deal” czy „No deal”?
Obecnie wciąż trwają negocjacje dotyczące tego, czy wyjście Wielkiej Brytanii z Unii odbędzie się na mocy porozumienia czy też nie. Będzie miało to istotny wpływ na ochronę danych osobowych i nie tylko na to, bowiem zadecyduje o sposobie i zasadach rozstania się Wielkiej Brytanii z Unią, z którą ma tak wiele powiązań w każdym obszarze. W przypadku wyjścia za porozumieniem można się spodziewać dalszego obowiązywania rodo, co zasadniczo oznaczałoby utrzymanie obecnej sytuacji. Chociaż Zjednoczone Królestwo nie byłoby już państwem członkowskim Unii Europejskiej, to jednak rodo byłoby stosowane w tym kraju na mocy umowy międzynarodowej.
Natomiast w przypadku wyjścia bez porozumienia, Wielka Brytania zostałaby uznana za państwo trzecie, ze wszystkimi wynikającymi z tego konsekwencjami. W tym, jeśli oferowane będą towary i usługi osobom przebywającym na terenie Unii lub będzie miało miejsce ich monitorowanie, konieczne będzie wyznaczenie przedstawiciela, o którym mowa w art. 27 rodo. Okoliczność ta nie będzie miała znaczenia dla samego przekazywania danych do Wielkiej Brytanii, ponieważ nawet jeżeli spółki brytyjskie będą de facto stosować rodo, to nadal będą działać na terytorium państwa trzeciego.
Na chwilę obecną bardziej prawdopodobne wydaje się opuszczenie Unii przez Wielką Brytanię bez porozumienia, jednak należy pamiętać, że w przypadku polityki na najwyższym szczeblu trzeba być cierpliwym, bo wszystko jest możliwe, a wynik negocjacji prawdopodobnie nie będzie znany do ostatniej chwili. Aktualnie wszystkie karty są w grze.
Przepływ danych w przypadku braku porozumienia
Jeżeli nie dojdzie do zawarcia porozumienia, to do Wielkiej Brytanii z całą mocą znajdzie zastosowanie Rozdział V rodo, regulujący zasady przekazywania danych osobowych do państw trzecich. Zawiera on szereg alternatywnych mechanizmów pozwalających na przekazanie danych do państwa niebędącego członkiem Europejskiego Obszaru Gospodarczego (dalej: EOG). Na samym początku mechanizmem tym nie będzie zapewne decyzja Komisji Europejskiej o odpowiednim poziomie ochrony, bowiem nie ma fizycznej możliwości, by została ona podjęta natychmiast po opuszczeniu Unii przez Wielką Brytanię.
Potwierdzają to eksperci rządowi. Jak stwierdził dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji1, z informacji uzyskanych od Komisji Europejskiej wynika, że nie może ona podjąć żadnych formalnych kroków, ponieważ Wielka Brytania wciąż jest państwem członkowskim Unii Europejskiej. Ta procedura będzie mogła rozpocząć się dopiero po brexicie, a od tego momentu do czasu przyjęcia decyzji stwierdzającej odpowiedni poziom ochrony także musi upłynąć pewien okres. W międzyczasie trzeba będzie opierać się na mechanizmach pozwalających na przekazanie danych do państwa trzeciego.
Chociaż do przepływu danych osobowych w związku ze współpracą pomiędzy polskimi a brytyjskimi spółkami najczęściej będą stosowane przesłanki derogujące ogólny zakaz przetwarzania danych zawarte w art. 49 rodo, które zostaną opisane w dalszej części artykułu, to opis instrumentów pozwalających na transfer danych rozpoczniemy od standardowych klauzul umownych oraz wiążących reguł korporacyjnych (dalej: WRK). Szczególnie te ostatnie nie są w praktyce często wykorzystywane (korzysta z nich zaledwie kilka polskich podmiotów). Natomiast w związku z brexitem ich znaczenie będzie rosło. Standardowe klauzule umowne zostały przyjęte przez Komisję Europejską jeszcze na podstawie uprzednio obowiązującej dyrektywy 95/46/WE. Jednakże zgodnie z art. 46 ust. 5 rodo „decyzje przyjęte przez Komisję na mocy art. 26 ust. 4 dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia w razie potrzeby decyzją Komisji przyjętą zgodnie z ust. 2 niniejszego artykułu”. Zatem poprzednie decyzje nadal mogą być stosowane.
Jak do tej pory Komisja Europejska przyjęła trzy takie akty, przy czym dwa z nich, tj. decyzja 497/2001/WE oraz decyzja 915/2004/WE, dotyczą sytuacji, w której polska spółka będąca administratorem przekazuje dane do spółki brytyjskiej, która również jest administratorem. Natomiast decyzja 2010/87/UE znajduje zastosowanie, gdy polska spółka będąca administratorem przekazuje dane do spółki brytyjskiej, która występuje jako podmiot przetwarzający. Decyzje te dotyczące relacji administrator – administrator mogą być stosowane zamiennie. Są one bardzo podobne, a Komisja zdecydowała się przyjąć dwie różne decyzje po to, aby dać spółkom pewne pole manewru w wyborze bardziej odpowiadającego im rozwiązania. Stosując standardowe klauzule umowne, należy pamiętać o dwóch podstawowych kwestiach. Po pierwsze, należy właściwie określić zachodzącą relację, tj. czy dochodzi do udostępnienia danych pomiędzy administratorami, czy też do powierzenia przetwarzania danych przez administratora podmiotowi przetwarzającemu. Jest to o tyle istotne, że popełniony błąd będzie skutkował wyborem niewłaściwej decyzji, a więc finalnie transfer będzie nielegalny. Po drugie, nie można zmieniać treści przyjętych przez Komisję klauzul (naturalnie nie dotyczy to zmian, które klauzule wyraźnie dopuszczają, jak np. doprecyzowanie zasad wzajemnej odpowiedzialności spółek zgodnie z klauzulą zawartą w decyzji 2010/87/UE).
Stosowanie WRK wiąże się z pewnymi trudnościami wynikającymi z faktu, że jest to mocno sformalizowany proces. Możliwość skorzystania z dobrodziejstwa, jakim są WRK, warunkowana jest wymaganym przez art. 47 ust. 1 rodo uzyskaniem zatwierdzenia przez właściwy organ nadzorczy. W tym kontekście istnieje wątpliwość, co zrobić z WRK zatwierdzonymi przez brytyjski organ nadzorczy. Rzecznik ds. Informacji (Information Commisioneer’s Office, dalej: ICO) do momentu opuszczenia Unii Europejskiej przez Wielką Brytanię jest organem nadzorczym w rozumieniu rodo i w związku z tym ma prawo zatwierdzać wiążące reguły korporacyjne, nadając im tym samym moc w odniesieniu do podmiotów z innych krajów UE. Podobnie sytuacja wyglądała pod rządami uprzednio obowiązującej dyrektywy 95/46/WE. Również na jej podstawie ICO wydał szereg takich decyzji. Jednakże mając na uwadze, że niedługo instytucja ta utraci przymiot organu nadzorczego w rozumieniu prawa UE, powstaje wątpliwość, czy decyzje te będą nadal obowiązywać. Ponadto, w odróżnieniu od standardowych klauzul, które są już gotowe, WRK muszą dopiero zostać przygotowane i wdrożone przez spółkę, co nie jest proste i zawsze wymaga dużego zaangażowania oraz czasu.
Operacje przekazywania mogłyby również opierać się na innych mechanizmach. Należą do nich m.in. zatwierdzone kodeksy postępowania lub zatwierdzone mechanizmy certyfikacji. Pierwszy z tych instrumentów polega na tym, że podmioty wymienione w art. 40 ust. 2 rodo sporządzają kodeks postępowania, zgodnie z zasadami tam określonymi. Następnie po zatwierdzeniu takiego kodeksu przez organ nadzorczy może do niego przystąpić podmiot z państwa trzeciego, zawierając odpowiednią umowę (zgodnie z art. 40 ust. 3 rodo). Natomiast drugie z rozwiązań polega na tym, że organy nadzorcze mogą wydać specjalne zasady dobrowolnej certyfikacji, które mogą być spełnione przez podmiot z państwa trzeciego, co kończy się uzyskaniem certyfikatu od organu nadzorczego lub podmiotu certyfikującego, pozwalającego na przekazanie danych do tego podmiotu (zgodnie z art. 42 ust. 2 rodo). Mechanizmy te mogą okazać się przydatne w przyszłości, jednakże z uwagi na to, że niewiele z nich jest obecnie gotowych, nie należy się spodziewać ich użycia na dużą skalę w bliskiej przyszłości.
Poza standardowymi mechanizmami pozwalającymi na przekazanie danych osobowych art. 49 rodo zawiera również szereg wyjątków pozwalających na przekazanie danych do państwa trzeciego w określonych sytuacjach. W tym miejscu dochodzimy do rozwiązań, które będą miały największe praktyczne zastosowanie.
Prawodawca unijny w art. 49 ust. 1 lit. a rodo pozwala na przekazanie danych, jeżeli „osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku (…) wyraźnie wyraziła na nie zgodę”. W przypadku skorzystania z tego mechanizmu należy pamiętać, że zgoda na przekazanie jest czymś odrębnym od zgody jako podstawy prawnej i nie można łączyć tych dwóch elementów oraz zapominać o obowiązkowej informacji odnoszącej się do ryzyka, do której obliguje nas rodo. Art. 49 ust. 1 lit. b pozwala natomiast na przekazanie danych, jeżeli to „jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem”.
[…]
Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
r. pr. Tomasz Osiej
Przemysław Sierzputowski
