Na czasieTwardy brexit z punktu widzenia danych osobowych > redakcja Opublikowane 2 kwietnia 20190 0 99 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Z dnia na dzień obwarowałoby to transfer danych dodatkowymi, często bardzo problematycznymi warunkami, które musieliby spełnić administratorzy. Czy taki scenariusz zagraża przedsiębiorcom, którzy w ramach współpracy przekazują dane na Wyspy?Media na bieżąco informują o trwających negocjacjach w sprawie wyjścia Wielkiej Brytanii z Unii Europejskiej, która dla wielu firm jest ważnym rynkiem handlowym. Stąd obawy oraz niepewność właścicieli przedsiębiorstw. Sytuację dodatkowo komplikują zbliżające się wybory do Parlamentu Europejskiego – wskazuje się, że 12 kwietnia 2019 r. to kluczowa data, ponieważ do tego czasu konieczne jest podjęcie decyzji co do ewentualnego uczestnictwa w wyborach. W środę 27 marca br. w Izbie Gmin miało miejsce orientacyjne głosowanie nad możliwymi scenariuszami ws. brexitu. Co ciekawe członkowie Izby nie opowiedzieli się za żadnym z poddanych pod głosowanie rozwiązań, w związku z czym piłka jest dalej w grze, a każdy ze scenariuszy ma podobne szanse na realizację, przypuszczalnie z wyjątkiem ponownego referendum – rząd Theresy May zapowiedział, że nie zamierza wycofać się z decyzji o opuszczeniu Unii Europejskiej. W przypadku brexitu bez umowy, wszystkie organizacje przekazujące dane osobowe na Wyspy będą miały dodatkowe zobowiązania, które obecnie ich jeszcze nie dotyczą.„Twardy brexit” wymusi na polskich firmach konieczności uzyskania jednej z podstaw legalizujących przekazanie danych do państwa trzeciego, o których stanowi rozdział V RODO. Każdy kontrahent, usługodawca czy spółka z grupy kapitałowej, w której skład wchodzi podmiot mający siedzibę na terenie Wielkiej Brytanii, aby móc je przekazać do brytyjskiego podmiotu zobligowany będzie do zapewnienia odpowiednich gwarancji bezpieczeństwa – wskazuje Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.W ramach współpracy przedsiębiorcy będą musieli zadbać przede wszystkim o odpowiednie klauzule umowne oraz zawieranie stosownych porozumień. Określać będą one na jakiej podstawie informacje mogłyby zostać przekazane do firm brytyjskich. Co więcej, istotnym elementem byłoby przyjęcie wiążących reguł korporacyjnych – jeśli do przekazań danych dochodziłoby w ramach grupy przedsiębiorstw (art. 46 ust 2 RODO).Po stronie administratorów leżałaby też odpowiednia modyfikacja przygotowanej przez nich dokumentacji ochrony danych osobowych, w szczególności w zakresie klauzul informacyjnych i rejestrów czynności przetwarzania. Oznaczać będzie to znaczne utrudnienie (w tym z pewnością dodatkowe koszty) dla europejskich organizacji, które działają na rynku brytyjskim – dodaje Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.Pocieszającym wydaje się być jednak fakt, że w Wielkiej Brytanii przygotowywana jest odpowiednia ustawa, która w dużym stopniu będzie odpowiadać RODO. W momencie „twardego brexitu” zacznie ona być obligatoryjna, dzięki czemu nadal będzie istniał odpowiednik polskiego Urzędu Ochrony Danych Osobowych – ICO (Information Commissioner’s Office – Biuro Komisarza ds. Informacji). Co więcej, prawomocne będą nadal przyjęte już wcześniej przez Wyspy standardy określone przez RODO.Zanim znane będą dalsze losy brexitu, przedsiębiorcy muszą działać i zidentyfikować dane osobowe przesyłane do brytyjskich organizacji oraz podjąć decyzję, co do ich dalszego przetwarzania w przypadku nastąpienia bezumownego brexitu. Nie można zapomnieć, że zgodnie z art. 83 ust. 5 RODO naruszenie przepisów związanych z przekazywaniem informacji do państw trzecich obwarowane jest administracyjną karą pieniężną sięgającą maksymalnie 20 mln euro (lub 4% całkowitego rocznego obrotu przedsiębiorstwa).