Przekazywanie danych osobowych po Brexicie: Co się zmieni? [BREXIT W PRAKTYCE]

Umowa o handlu i współpracy pozwala na kontynuowanie swobodnego przepływu danych do Zjednoczonego Królestwa do 1 lipca 2021 r. Trzeba jednak przy tym pamiętać o wymogach wynikających z RODO.

Umowa o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej, z jednej strony, a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej, z drugiej strony (dalej: umowa o handlu i współpracy) uregulowała także zasady przepływu danych osobowych z krajów UE do Wielkiej Brytanii. Ma więc duże znaczenie dla przedsiębiorców współpracującymi z podmiotami w Wielkiej Brytanii – i to nie tylko korzystających z usług Wyspiarzy, lecz także działających w ramach grupy kapitałowej, do której należą spółki ze Zjednoczonego Królestwa. Przy takiej współpracy często są bowiem wymieniane informacje, które stanowią dane osobowe.

Kiedy dochodzi do transferu

Z przekazywaniem danych osobowych do Wielkiej Brytanii mamy do czynienia m.in. w niżej opisanych sytuacjach.

1. Spółka C z siedzibą w Polsce należy do grupy kapitałowej, do której należy też spółka D z siedzibą w Wielkiej Brytanii. Spółka D świadczy na rzecz wszystkim podmiotów z grupy usługi z zakresu IT, a przez to ma dostęp do danych osobowych przetwarzanych przez spółkę C. Tym samym spółka C korzysta z usług spółki D, która przetwarza dane w jej imieniu jako podmiot przetwarzający – m.in. w związku z wykonywaniem prac w celu utrzymania systemów teleinformatycznych, utrzymaniem serwerów.

2. Spółka E z siedzibą w Polsce zleciła spółce F z siedzibą w Wielkiej Brytanii wykonanie aplikacji i następnie zapewnienie wsparcia w utrzymaniu tej aplikacji. Spółka F, wykonując te prace, będzie miała dostęp do danych osobowych użytkowników aplikacji, których administratorem jest spółka E. Wobec czego działa jako podmiot przetwarzający dane osobowe.

3. Stowarzyszenie X z siedzibą w Polsce organizuje szkolenia dla swoich członków (osób fizycznych) i z tego powodu korzysta z usług firmy szkoleniowej z siedzibą w Wielkiej Brytanii. W związku z tym przekazuje tej firmie dane swoich członków – m.in. imię, nazwisko, adres e-mail.

4. Spółka A z siedzibą w Polsce należy do grupy kapitałowej, w której spółka matka (spółka B) ma siedzibę w Wielkiej Brytanii. Spółka A wysyła co kwartał spółce B informacje o menedżerach wyższego szczebla – m.in. imię i nazwisko, a także dotyczące wysokości wynagrodzeń, wyników.

Tacy przedsiębiorcy (ale też i inne podmioty – np. stowarzyszenia) mogą odetchnąć z ulgą, gdyż umowa o handlu i współpracy zapewnia utrzymanie do 1 lipca 2021 r. swobodnego przepływu danych pomiędzy Europejskim Obszarem Gospodarczym a Zjednoczonym Królestwem. Warunkiem jest jednak to, aby w okresie przejściowym Wielka Brytania zachowała obowiązujące 31 grudnia 2020 r. przepisy o ochronie danych osobowych oparte na prawie UE, tj. rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; dalej: RODO) i dyrektywie (UE) 2016/680.

Po staremu, czyli jak?

Co to oznacza w praktyce? Wielka Brytania w kontekście transferu danych osobowych nadal jest traktowana tak, jakby wciąż była państwem członkowskim. Przekazywanie danych do podmiotów leżących za kanałem La Manche może więc odbywać się na dotychczasowych zasadach, gdyż kraj ten na gruncie przepisów o ochronie danych osobowych na razie nie jest uważany przez UE za państwo trzecie. W praktyce to oznacza, że jeżeli podmiotem przetwarzającym dane wysłane przez polską firmę będzie brytyjskie przedsiębiorstwo, to nadal konieczne jest zawarcie umowy powierzenia przetwarzania danych, która spełnia wymogi określone w art. 28 RODO. Nadal też jest możliwe przekazywanie – udostępnianie – danych odrębnemu administratorowi, przy czym w tym przypadku – jak dotychczas musi istnieć ku temu podstawa prawna (np. prawnie uzasadniony interes, jakim są cele administracyjne spółek w grupie kapitałowej; prawnie uzasadniony interes, jakim jest realizacja umowy). Uwaga, w takiej sytuacji nie trzeba zawierać dodatkowego porozumienia, chociaż możliwe jest zawarcie umowy, która ureguluje zasady udostępnienia danych.

Przykład 1

Przy powierzeniu pamiętać o umowie

Spółka C z siedzibą w Polsce należy do grupy kapitałowej, do której należy też spółka D z siedzibą w Wielkiej Brytanii. Spółka D świadczy na rzecz wszystkich podmiotów z grupy usługi z zakresu IT. Tym samym spółka C korzysta z usług spółki D, która przetwarza dane w jej imieniu jako podmiot przetwarzający – m.in. w związku z wykonywaniem prac w celu utrzymania systemów teleinformatycznych, utrzymaniem serwerów. W takiej sytuacji konieczne jest zawarcie umowy powierzenia przetwarzania danych (zgodnej z art. 28 RODO), która ureguluje na jakich zasadach, w jakim celu i w jakim zakresie spółka D jako tzw. procesor może przetwarzać dane przekazane jej przez spółkę C w celu świadczenia usług.

Przykład 2

Podstawą przetwarzania może być prawnie uzasadniony interes

Spółka A z siedzibą w Polsce należy do grupy kapitałowej, w której spółka matka (spółka B) ma siedzibę w Wielkiej Brytanii. Spółka A co kwartał wysyła spółce B informacje o menedżerach wyższego szczebla – m.in. imię i nazwisko, a także dotyczące wynagrodzeń i osiąganych wyników. Spółka A jako administrator danych udostępnia B, będącej również administratorem danych, dane osobowe. Podstawą przekazania danych może być prawnie uzasadniony interes, jakim jest realizacja wewnętrznych celów administracyjnych. Spółki zawarły (nieobowiązkowe) porozumienie, które określa, jakie dane, w jakim celu, na jakich zasadach są udostępniane.

Przykład 3

Z bankiem niepotrzebne dodatkowe porozumienia

Spółka A z siedzibą w Polsce korzysta z usług banku mającego siedzibę w Wielkiej Brytanii. Banki uważane są za odrębnych administratorów danych. Aby możliwe było wykonanie przelewów, spółka A przekazuje do banku m.in. dane swoich pracowników (imię, nazwisko, adres, numer rachunku bankowego etc.). Są one udostępniane na podstawie prawnie uzasadnionego interesu, jakim jest realizacja umowy o świadczenie usług bankowych. Nie jest konieczne zawieranie dodatkowego porozumienia dotyczącego przetwarzania danych, chociaż jest to dopuszczalne.

Przykład 4

Usługi hostingowe też wymagają ustalenia zasad

Spółka A z siedzibą w Polsce korzysta z usług hostingowych świadczonych przez spółkę B z siedzibą w Zjednoczonym Królestwie. W związku z tym przekazuje jej informacje o swoich klientach (osobach fizycznych) – m.in. imię, nazwisko, adres, telefon kontaktowy, historię zamówień. W tym przypadku konieczne jest zawarcie umowy powierzenia przetwarzania danych (zgodnej z art. 28 RODO), która ureguluje, na jakich zasadach, w jakim celu, w jakim zakresie spółka B jako tzw. procesor może przetwarzać dane przekazane jej przez polski podmiot w celu świadczenia usług.

Co zapisać w kontrakcie z procesorem

Przypomnijmy zatem, jak powinna wyglądać umowa powierzenia przetwarzania danych. Jest to porozumienie pomiędzy administratorem danych (podmiot, który decyduje o celach i środkach przetwarzania danych) a procesorem/podmiotem przetwarzającym (podmiot, który przetwarza dane w imieniu administratora), które określa, jakie dane i na jakich zasadach mogą być przetwarzane przez procesora (podmiot przetwarzający). Zgodnie z art. 28 RODO umowa ta powinna określać:

przedmiot i czas trwania przetwarzania;
charakter i cel przetwarzania (np. w celu wykonania umowy, umożliwienia zrealizowania wskazanych usług);
rodzaj danych osobowych (dane zwykłe, szczególne kategorie danych osobowych; wskazane jest szczegółowe wymienienie kategorii powierzanych danych – np. imię, nazwisko, numer telefonu);
kategorie osób, których dane dotyczą (np. klienci, pracownicy);
obowiązki i prawa administratora;
obowiązki podmiotu przetwarzającego (zostały określone w art. 28 ust. 3 RODO), są to np.:

– obowiązek zapewnienia, że osoby upoważnione przez procesora do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

– obowiązek wspierania administratora w odpowiadaniu na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, np. prawo żądania dostępu do danych osobowych.

Co po okresie przejściowym

Obecnie nie wiadomo jeszcze, na jakich zasadach będzie się odbywał transfer danych do podmiotów ze Zjednoczonego Królestwa po 1 lipca 2021 r. (czyli po zakończeniu dodatkowego okresu przejściowego). Wprawdzie pojawiła się pozytywna zapowiedź: otóż Komisja Europejska zadeklarowała, że chciałaby, jak najszybciej rozpocząć procedurę w zakresie uznania WB za państwo spełniające odpowiedni poziom ochrony danych osobowych. Niemniej jest to wciąż jedynie polityczna deklaracja, nie ma więc gwarancji, że faktycznie taka procedura zostanie uruchomiona, a decyzja w sprawie uznania WB za kraj zapewniający odpowiedni poziom ochrony zostanie wydana przed końcem dodatkowego okresu przejściowego.

Nie ma pewności, czy KE wyda na czas decyzję stwierdzającą zapewnienie przez Wielką Brytanię odpowiedniego poziomu ochrony danych. Dlatego jeżeli podmiot z Polski przekazuje dane do Wielkiej Brytanii, już teraz warto rozpocząć prace – np. negocjacje z podmiotem w Wielkiej Brytanii w sprawie zawarcia dodatkowej umowy – zmierzające do tego, aby transfer danych po zakończeniu dodatkowego okresu przejściowego był zgodny z prawem.

Tym samym warto, aby przedsiębiorcy nie tylko na bieżąco śledzili aktualną sytuację, ale już teraz rozpoczęli przygotowania. Tak, by byli gotowi również w sytuacji, jeżeli okres przejściowy się zakończy, a Komisja Europejska nie wyda wspomnianej decyzji. Ten pesymistyczny wariant również niestety jest możliwy i warto już teraz zastanowić się, w jaki sposób dane będą przekazywane, jeżeli dojdzie do takiej sytuacji.

Jeśli nie będzie decyzji KE

Oczywiście transfer danych do podmiotu z siedzibą w Zjednoczonym Królestwie – nawet mimo braku decyzji KE – będzie możliwy, np. jeżeli zaistniałaby którakolwiek z przesłanek określonych w art. 49 RODO, a więc jeśli zrealizowałby się którykolwiek z wymienionych w tym przepisie wyjątków. Taka wyjątkowa sytuacja zaistniałaby, gdyby np. osoba, której dane dotyczą, zostałaby poinformowana o ewentualnym ryzyku, z którym – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się wiązać proponowane przekazanie danych, a mimo to wyraźnie wyraziłaby zgodę na przekazanie jej danych osobowych. Innym z wyjątków, który mógłby znaleźć zastosowanie, jest też np. sytuacja, gdy przekazanie danych jest niezbędne do:

wykonania umowy między osobą, której dane dotyczą, a administratorem,
wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą,
zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną.

Stosowanie wyjątków określonych w art. 49 RODO jest jednak utrudnione o tyle, o ile powinno dotyczyć szczególnych sytuacji i powinno mieć jednak charakter sporadyczny [tak wynika z motywu 111 preambuły RODO, który stanowi, że „Należy wprowadzić możliwość przekazywania danych w niektórych okolicznościach, jeżeli osoba, której dane dotyczą, wyraziła na to wyraźną zgodę, jeżeli przekazywanie jest sporadyczne i niezbędne w związku z umową lub roszczeniem – niezależnie od rodzaju postępowania: sądowego lub administracyjnego lub jakiegokolwiek innego postępowania pozasądowego, w tym postępowania przed organami regulacyjnymi (…)”].

Przykład 5

Gdy pracownik odbywa podróż służbową

Spółka A wysyła swojego pracownika w podróż służbową do Wielkiej Brytanii. W związku z tym rezerwuje mu pobyt w hotelu. I tak, jeżeli zakończy się dodatkowy okres przejściowy, a jednocześnie nie zostanie wydana decyzja stwierdzająca, że Zjednoczone Królestwo zapewnia odpowiedni poziom ochrony, taki transfer danych będzie mógł zostać uznany za dopuszczalny na podstawie wyjątku, jakim jest zawarcie i wykonanie umowy zawartej w interesie pracownika.

Przykład 6

Klient będzie musiał być poinformowany o ryzyku

Spółka A zorganizowała konkurs dla swoich klientów i chciałaby zamieścić zdjęcie z jego zwycięzcą na stronie grupy kapitałowej, do której należy. Stroną internetową administruje spółka B z siedzibą w Wielkiej Brytanii i to jej spółka A wysyła zdjęcie oraz informację o zwycięzcy. Jeżeli zakończy się dodatkowy okres przejściowy, a jednocześnie nie zostanie wydana decyzja stwierdzająca, że Zjednoczone Królestwo zapewnia odpowiedni poziom ochrony, przekazanie tych informacji do spółki B będzie możliwe, jeżeli organizator konkursu poinformuje klienta o ewentualnym ryzyku, z którym – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niego wiązać proponowane przekazanie, a klient wyraźnie wyrazi zgodę na przekazanie jego danych do spółki B.

Jakie zabezpieczenia

W sytuacji gdy po zakończeniu dodatkowego okresu przejściowego nie zostanie wydana decyzja KE stwierdzająca odpowiedni poziom ochrony, to podmioty z Polski będą mogły przekazywać dane osobowe do podmiotów w Wielkiej Brytanii, jeżeli zapewnią odpowiednie zabezpieczenia. Te zabezpieczenia zostały wymienione w art. 46 RODO i są to:

prawnie wiążący i egzekwowalny instrument między organami lub podmiotami publicznymi;
wiążące reguły korporacyjne;
standardowe klauzule ochrony danych przyjęte przez Komisję;
standardowe klauzule ochrony danych przyjęte przez organ nadzorczy i zatwierdzone przez Komisję;
zatwierdzony kodeks postępowania wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;
zatwierdzony mechanizm certyfikacji wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Standardowe klauzule – rozwiązanie na przyszłość

W praktyce najczęściej stosowane są standardowe klauzule umowne przyjęte przez Komisję Europejską. Są one dostępne w dwóch wariantach:

1) kiedy administrator podlegający prawu UE przekazuje dane do podmiotu przetwarzającego w państwie trzecim,

2) kiedy administrator podlegający prawu UE przekazuje dane do administratora w państwie trzecim.

Obecne standardowe klauzule umowne bazują jeszcze na starych przepisach i nie ma nowych wydanych na podstawie RODO, ale jak najbardziej nadal mogą mieć one zastosowanie. Obecnie trwają prace nad przyjęciem nowych standardowych klauzul umownych, jednak na ten moment nie wiadomo jeszcze, kiedy się one zakończą.

W kontekście stosowania dodatkowych zabezpieczeń wymienionych w art. 46 RODO istotne znaczenie ma wydany w lipcu ubiegłego roku wyrok w tzw. sprawie Schrems II [wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 16 lipca 2020 r. w sprawie Schrems II (C-311/18)]. Dotyczył on co prawda przekazywania danych do USA i stosowania tzw. tarczy prywatności, lecz ma on generalnie znaczenie dla transferu danych także do innych państw trzecich. A to z tego względu, że w tym wyroku potwierdzona została co do zasady możliwość stosowania standardowych klauzul umownych (co do zasady klauzule te są ważne). Niemniej jednak w tym samym wyroku także podkreślono, że standardowe klauzule umowne „mogą nie stanowić wystarczającego środka pozwalającego na zapewnienie w praktyce skutecznej ochrony danych osobowych przekazywanych do danego państwa trzeciego”. Dlatego jeżeli są one stosowane (tak, jak i w zasadzie pozostałe mechanizmy opisane w art. 46 RODO), to konieczne jest przeanalizowanie standardowych klauzul, polityki ochrony danych osobowych w państwie trzecim, do którego dane są przesyłane, a także środków stosowanych przez podmiot, do którego mają być wysyłane dane. W niektórych sytuacjach zasadne może okazać się stosowanie uzupełniających środków zabezpieczających (np. dodatkowe szyfrowanie).

Przykład 7

Usługi w chmurze na pół roku

Spółka A z siedzibą w Polsce korzysta z usług chmurowych oferowanych przez spółkę B z siedzibą w Wielkiej Brytanii. W związku z tym przesyła temu podmiotowi dane swoich pracowników, klientów, dostawców (w tym dane osobowe). I tak, jeżeli zakończy się dodatkowy okres przejściowy, a nie zostanie wydana decyzja stwierdzająca, że Zjednoczone Królestwo zapewnia odpowiedni poziom ochrony, to dalsze przekazanie danych będzie możliwe, lecz w tej sytuacji kontrahenci musieliby zawrzeć umowę na podstawie standardowych klauzul umownych. Dodatkowo spółka A będzie musiała ocenić, czy i jakie uzupełniające środki zabezpieczające będą mogły być zastosowane.

Przykład 8

Między spółkami z grupy kapitałowej

Spółka C z siedzibą w Polsce należy do grupy kapitałowej, do której przynależy też spółka D z siedzibą w Wielkiej Brytanii. Spółka D świadczy na rzecz wszystkich podmiotów z grupy usługi z zakresu IT, a przez to ma dostęp do danych osobowych przetwarzanych przez spółkę C. Tym samym podmiot z siedzibą w Polsce korzysta z usług spółki D, który przetwarza dane w jej imieniu jako podmiot przetwarzający – m.in. w związku z wykonywaniem prac w celu utrzymania systemów teleinformatycznych, utrzymaniem serwerów. Jeżeli zakończy się dodatkowy okres przejściowy, a nie zostanie wydana decyzja stwierdzająca, że Zjednoczone Królestwo zapewnia odpowiedni poziom ochrony, to dalsze przekazanie danych będzie możliwe, lecz spółki musiałyby zawrzeć umowę na podstawie standardowych klauzul umownych. Dodatkowo spółka C będzie musiała ocenić, czy i jakie uzupełniające środki zabezpieczające będą mogły być zastosowane.