Menu Zamknij

WIDMO TWARDEGO BREXITU ODDALA SIĘ

W dniu 31 grudnia 2020 r. weszła w życie Umowa o handlu i współpracy między unią europejską i europejską wspólnotą energii atomowej, z jednej strony, a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej, z drugiej strony. Treść samej umowy oraz zawartej w niej klauzuli pomostowej ponownie oddalają obawy tzw. twardego Brexitu w obszarze ochrony danych osobowych. Jest to już drugie takie porozumienie między stronami i tym razem ustanawia ono krótszy, 6-miesięczny termin obowiązywania. Nie oznacza to jednak, że przedsiębiorców nie czekają żadne zmiany.

Ostatnie dni grudnia przyniosły oczekiwaną przez wiele podmiotów kolejną protezę prawną regulującą transfery danych między państwami Europejskiego Obszaru Gospodarczego a Zjednoczonym Królestwem. Nie ziściły się zatem czarne scenariusze przewidujące, że po 31 grudnia 2020 r. Wielka Brytania stanie się Państwem Trzecim w rozumieniu przepisów Rozdziału V RODO. Powodowałoby to olbrzymie konsekwencje, albowiem każdy transfer danych do tego Państwa uzależniony byłby od istnienia jednego z instrumentów prawnych wskazanych w art. 47-49 RODO. Do dnia dzisiejszego Komisja Europejska nie skorzystała bowiem z możliwości, jaką przewiduje art. 45 RODO czyli wydania decyzji stwierdzającej, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

Art. FINPROV 10A ww. Umowy przewiduje istnienie fikcji prawnej, zgodnie z którą przekazywanie danych do Wielkiej Brytanii nie stanowi transferu danych do państw trzecich w rozumieniu RODO pomimo tego, że skutek Brexitu (wyjście Wielkiej Brytanii z UE) się ziścił. Norma ta obowiązywać będzie jednak wyłącznie przez 4 miesiące, a po tym okresie także dodatkowo przez 2 miesiące, o ile żadna ze stron się temu nie sprzeciwi. Norma ta wygaśnie także w sytuacji, gdy Komisja Europejska wyda decyzję, o której mowa w art. 45 RODO. Należy się spodziewać, że we wskazanym okresie Komisja Europejska podejmie odpowiednie kroki, aby decyzję wydać bądź zawarte będzie ponowne porozumienie, które „uratuje” transfery danych przypominające dotychczasowe rozwiązania.

Ewentualna decyzja Komisji wydawana będzie przy tym w następstwie dwóch znaczących orzeczeń Trybunału Sprawiedliwości Unii Europejskiej. Pierwszym z nich będzie osławiony wyrok ws. Schrems II (C-311/18 – więcej informacji tutaj). Drugim z nich jest wyrok TSUE ws. Privacy International (C‑623/17). Zasadnicza treść rozstrzygnięcia sprowadza się do wskazania, że obowiązek nałożony na operatorów telekomunikacyjnych pozyskiwania i retencji danych o ruchu i lokalizacji użytkowników sieci jest niezgodny z prawem unijnym (a ściślej dyrektywy 2002/58/WE o prywatności i łączności elektronicznej). Tym samym choć obowiązek taki wynika wprost z przepisów prawa brytyjskiego i nie kwestionuje się jego legalności w jego świetle, to już w ramach kontroli jego zgodności z prawem unijnym stwierdzono istotne uchybienia. Nie sposób jednoznacznie obecnie przesądzić, czy wyrok ten wpłynie na decyzję KE. Z pewnością należy jednak odnotować dość konsekwentne stanowisko TSUE w drugiej podobnej sprawie wydane w przeciągu kilku miesięcy. Widać jednoznacznie, że kwestia prywatności obywateli ma dla TSUE pierwszorzędne znaczenie. TSUE w tym zakresie potrafi odważnie wskazać prymat prawa do prywatności nad interesem wywiadowczym państw członkowskich UE.

Ewentualna decyzja KE lub jej brak na pewno skutkować będzie jednak dla przedsiębiorców koniecznością przeglądu czynności przetwarzania. Nawet przy pozytywnym scenariuszu, za jaki należy uznać wydanie decyzji konieczny będzie przegląd klauzul informacyjnych. Zgodnie bowiem z treścią art. 13 ust. 1 lit. f) RODO administrator podaje podczas pozyskiwania danych osobowych informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia. Już teraz zatem warto przygotować się na audyt tej części procesu przetwarzania danych, jaki jest nieodzowny w działalności każdej firmy. Za transfer danych do państwa trzeciego może być uznane nawet korzystanie z oprogramowania brytyjskiego dostawcy.

 

Adwokat Robert Gruz
Inspektor Ochrony Danych w Koksztys Kancelaria Prawa Gospodarczego Sp. K.