Koniec okresu przejściowego

Z dniem 1 stycznia 2021 roku nastąpiły znaczne zmiany w związku z przekazywaniem danych osobowych do Wielkiej Brytanii. Zmiany te dotyczą bezpośrednio wszystkich przedsiębiorców, którzy współpracują z firmami zlokalizowanymi na terenie Wielkiej Brytanii, w tym podmioty, które wchodzą w skład grup kapitałowych działających na terenie Zjednoczonego Królestwa.

31 grudnia 2020 roku zakończyło się porozumienie, które regulowało okres przejściowy związany z wychodzeniem Wielkiej Brytanii z Unii Europejskiej. Ma to ogromne znaczenie, ponieważ od 1 stycznia 2021 roku Wielka Brytania nie jest uznawana za państwo z Europejskiego Obszaru Gospodarczego (EOG). Oznacza to, że od tej daty Wielka Brytania nie będzie zobowiązana stosować przepisów RODO do przetwarzania danych osobowych, a co za tym idzie w Wielkiej Brytanii będą obowiązywać odrębne ramy prawne dotyczące ochrony danych i ochrony prywatności. Dodatkowo każdy transfer danych osobowych do tego kraju będzie musiał odbywać się z zachowaniem rygorów przewidzianych dla transferów do krajów spoza EOG.

Jak dostosować przedsiębiorstwo do nowej sytuacji

Z uwagi na zaistniałą zmianę przedsiębiorcy już dziś powinni przeanalizować w jaki sposób dostosować proces przekazywania danych osobowych do Wielkiej Brytanii, aby zagwarantować zgodność przekazywania danych z obowiązującym prawem. W tym celu specjaliści Kancelarii przygotowali dla Państwa pomocne zestawienie, w którym przedstawiono najważniejsze informacje dotyczące przekazywania danych osobowych po wyjściu Wielkiej Brytanii z Unii Europejskiej.

Każdy przedsiębiorca posiadający status administratora albo podmiotu przetwarzającego na gruncie RODO, powinien:

  1. Podjąć decyzję biznesową w zakresie ustalenia, czy nadal będzie przekazywał dane do Wielkiej Brytanii tj. poza obszar EOG.
  2. Dokonać przeglądu:
  • zakresu przekazywanych danych,
  • kategorii przekazywanych danych,
  • celu, w którym dane są przekazywane,
  • podstawy prawnej dla przekazywania danych.
  1. W przypadku podjęcia pozytywnej decyzji dotyczącej dalszego przekazywania danych do Wielkiej Brytanii – wdrożyć zgodny z RODO mechanizm zabezpieczający przekazywanie danych osobowych.
  2. W razie zaistnienia takiej potrzeby, dokonać aktualizacji dokumentacji dotyczącej danych osobowych (m.in. rejestr czynności przetwarzania, wewnętrzne procedury dotyczące przetwarzania danych).
  3. W razie zaistnienia takiej potrzeby, dokonać aktualizacji obowiązków informacyjnych, które powinny być zgodne z art. 13 i 14 RODO i zawierać informację o przekazywaniu danych do państwa spoza EOG.

Lepiej działać niż czekać

Znacznym ułatwieniem byłoby wydanie decyzji w trybie art. 45 RODO, która umożliwi przekazywanie danych do państwa trzeciego zapewniającego odpowiedni stopień ochrony. Biorąc pod uwagę skomplikowaną i długotrwałą procedurę w zakresie podjęcia tego typu decyzji przez Komisję, na tym etapie nie jest możliwe ustalenie, kiedy zostanie wydana. Jednocześnie z uwagi na pojawiające się wątpliwości co do poziomu inwigilacji prowadzonego przez brytyjskie służby (w szczególności GCHQ) nie ma też pewności czy decyzja taka w ogóle zostanie wydana.

Przedsiębiorca przekazujący dane osobowe do Wielkiej Brytanii nie może jednak pozwolić sobie na oczekiwanie na wydanie decyzji przez Komisję – dla zachowania zgodności z RODO konieczne jest dostosowanie zasad przetwarzania już teraz.