W razie tzw. twardego brexitu polskie firmy i podmioty publiczne będą miały nowe obowiązki związane z ochroną danych osobowych, przestrzega Urząd Ochrony Danych Osobowych. Urząd oferuje też pomoc i wyjaśnienia dla administratorów danych, by ułatwić przygotowania do tej sytuacji.
Zdaniem UODO tzw. twardy brexit, czyli wyjście Wielkiej Brytanii z Unii Europejskiej bez podpisania z nią porozumienia i przyjęcia przepisów przejściowych wydaje się coraz bardziej prawdopodobne.
– Bardzo wielu polskich przedsiębiorców ma kontakty gospodarcze z firmami na terenie Wielkiej Brytanii i nie ma na co czekać, tylko warto przeanalizować, czy to może mieć negatywny wpływ na dotychczasową działalność i w jaki sposób można się do tego przygotować – mówił Piotr Drobek z UODO.
Według Urzędu, polscy administratorzy danych powinni zacząć przygotowywać się do sytuacji, w której po 29 marca, dosłownie z dnia na dzień, Wielka Brytania przestanie być traktowana przez przepisy dotyczące ochrony danych osobowych jako członek UE, a stanie się tzw. państwem trzecim. Obecnie Wielka Brytania jako członek UE jest objęta przepisami RODO, czyli transfer danych osobowych z Polski do Wielkiej Brytanii odbywa się tak, jak przetwarzalibyśmy dane osobowe w Polsce. Od 30 marca – o ile nie pojawią się jakieś dodatkowe porozumienia – Wielka Brytania stanie się państwem trzecim, co nie powoduje zakazu przekazywania danych przez polskie podmioty do tego kraju, ale będzie wymagało spełnienia dodatkowych warunków.
– To będzie rodziło określone konsekwencje dla polskich przedsiębiorców i podmiotów publicznych – mówiła podczas czwartkowej konferencji prezes UODO Edyta Bielak-Jomaa, zalecając, by firmy i podmioty publiczne zdiagnozowały, jakie dane, w jakim celu, na jakiej podstawie są obecnie przez nie transferowane do Wielkiej Brytanii, zdecydowały, czy transfery te będą kontynuowane i wdrożyły odpowiednie instrumenty, by nadal zgodnie z prawem przetwarzać dane osobowe.
Jak mówiła prezes UODO, najbardziej oczekiwanym rozwiązaniem będzie wydanie przez Komisję Europejską decyzji, że Wielka Brytania zapewnia odpowiedni poziom ochrony danych osobowych, a przekazywanie do tego kraju danych jest dopuszczalne bez konieczności podejmowania dodatkowych działań. Decyzje takie zostały już wydane np. wobec Kanady, Nowej Zelandii czy Izraela. Jednak w ocenie UODO nie ma szans, by decyzja ta została wydana przed 29 marca, a choć nie ma zastrzeżeń co do poziomu ochrony danych osobowych na Wyspach, to cały proces formalny trwa zazwyczaj od co najmniej kilku miesięcy do nawet kilku lat.
Czekając na decyzję KE, firmy mogą skorzystać z różnych dostępnych rozwiązań, m.in. podpisać tzw. standardowe klauzule umowne ochrony danych (instrument ten – jak mówił Piotr Drobek – jest przydatny zwłaszcza dla małych i średnich firm, gdyż wzory dostępne są w języku polskim i angielskim i wystarczy je tylko wypełnić). Drugim instrumentem, skierowanym raczej do wielkich korporacji, są tzw. wiążące reguły korporacyjne. Dla firm, które już je stosują, będą one musiały być zmodyfikowane.
Przedstawiciele Urzędu zapewniali, że UODO na bieżąco monitoruje sytuację i oferuje pomoc administratorom. Więcej informacji na temat przekazywania danych osobowych do Wielkiej Brytanii w razie twardego brexitu znajduje się na stronie Urzędu.
Autorka: Małgorzata Werner-Woś, PAP.