Brexit a RODO

Jeśli organizacja przekazuje dane osobowe do Wielkiej Brytanii, powinna przeanalizować legalność tych operacji w wypadku tzw. twardego Brexitu i skoordynować dalsze działania z brytyjskim partnerem biznesowym.

Obecnie rozstrzyga się przyjęcie przez Wielką Brytanię umowy o wystąpieniu Wielkiej Brytanii z Unii Europejskiej. Przyjęcie tej umowy albo jej odrzucenie będzie miało wpływ na wymogi przekazywania danych osobowych z Unii Europejskiej do Wielkiej Brytanii po 29 marca 2019 r., czyli po ostatnim dniu Wielkiej Brytanii w Unii Europejskiej.

Skutki przyjęcia albo odrzucenia umowy o wystąpienie Wielkiej Brytanii z Unii Europejskiej

W przypadku przyjęcia umowy o wystąpieniu Wielkiej Brytanii z Unii Europejskiej w dniu wejścia jej w życie, tj. 30 marca 2019 r. rozpocznie się okres przejściowy, który będzie trwał do 31 grudnia 2020 r. W tym czasie przekazywanie danych osobowych do Wielkiej Brytanii z państwa należącego do Unii Europejskiej będzie odbywało się na dotychczasowych zasadach, czyli tak jak do innych państw Unii Europejskiej, czy szerzej patrząc Europejskiego Obszaru Gospodarczego. Istotne jest również, że umowa przewiduje możliwość przedłużenia okresu przejściowego.

Natomiast jeżeli dojdzie do odrzucenia umowy Brexitu nastąpi tzw. twardy Brexit. W jego wyniku począwszy od 30 marca 2019 r. przekazywanie danych osobowych do Wielkiej Brytanii z państw Unii Europejskiej będzie odbywało się tak jak do państwa trzeciego, co będzie wiązało się z koniecznością spełnienia dodatkowych wymogów – np. wcześniejszego wprowadzenia do umów z kontrahentami z Wielkiej Brytanii standardowych klauzul ochrony danych przyjętych przez Komisję Europejską.

Upływ okresu przejściowego – w przypadku przyjęcia umowy Brexitu

Z analizy art. 71 ust. 1 wspomnianej umowy wynika, że mogą wystąpić dwa scenariusze odnośnie zasad przekazywania danych osobowych z Unii Europejskiej do Wielkiej Brytanii po upływie okresu przejściowego:

Brexit: I scenariusz

Zgodnie z projektem „Deklaracji politycznej określającej ramy przyszłych stosunków między Unią Europejską a Zjednoczonym Królestwem” do końca 2020 r. Komisja Europejska przyjmie decyzję stwierdzającą, że Wielka Brytania zapewnia odpowiedni stopień ochrony danych osobowych. Wariant ten został przewidziany w art. 71 ust. 2 umowy o wystąpieniu Wielkiej Brytanii z Unii Europejskiej. Niniejsze rozwiązanie umożliwi przekazywanie danych osobowych z państw Unii Europejskiej do Wielkiej Brytanii bez konieczności spełnienia dodatkowych wymogów związanych z przekazywaniem danych do państwa trzeciego.

Brexit: II scenariusz

Art. 71 ust. 1 umowy o wystąpieniu Wielkiej Brytanii z Unii Europejskiej przewiduje rozwiązanie w sytuacji braku decyzji stwierdzająca odpowiedni stopień ochrony. Mianowicie przekazywanie danych osobowych do Wielkiej Brytanii z państw Unii Europejskiej będzie odbywało się nadal na dotychczasowych zasadach, czyli tak jak do innych państw Unii Europejskiej. Z tym, że rozwiązanie to będzie ograniczone do danych osobowych osób, których dane dotyczą spoza Wielkiej Brytanii.

Działania, które organizacja powinna podjąć w związku z Brexitem

Jeżeli organizacja nie zrobiła jeszcze tego do tej pory powinna niezwłocznie przeanalizować, czy w ramach procesów przetwarzania danych osobowych przekazuje dane osobowe do Wielkiej Brytanii. W przypadku pozytywnego wyniku tej weryfikacji należy ustalić, który ze środków wskazanych w rozdziale V RODO dotyczącym przekazywania danych osobowych do państw trzecich zapewniałby legalność takiego przekazywania jeśliby doszło do tzw. twardego Brexitu. Przy czym ze względu na bliski termin opuszczenia Unii Europejskiej przez Wielką Brytanię pierwszeństwo powinny mieć środki niewymagające zezwolenia lub zatwierdzenia przez organ nadzoru. Następnie należy skontaktować się partnerem biznesowym w Wielkiej Brytanii w celu określenia dalszych działań i ich terminów na wypadek tzw. twardego Brexitu.


Bądź na bieżąco
Otrzymuj najnowsze informacje o zmianach w prawie i podatkach bezpośrednio na swojego maila.

Zapisz się na newsletter >>