Skutki „hard” Brexitu dla ochrony danych osobowych w Unii Europejskiej.

Proces wyjścia Wielkiej Brytanii z Unii Europejskiej jest bardzo skomplikowany od strony politycznej, przede wszystkim w zakresie daty odnoszącej się do Brexitu, oraz zasad i reguł na podstawie których wyjście Wielkiej Brytanii z  miałoby się odbyć. Jednakże z perspektywy prawnej, jeśli nie zostanie podjęta w nadchodzących dniach odmienna decyzja polityczna, to 30 marca 2019 roku o godz. 00.00 formalnie Wielka Brytania przestanie być członkiem Unii Europejskiej.

O ile przez ostatnie dwa lata Unia Europejska i państwa członkowskie przygotowywały się do opuszczenia UE przez Wielką Brytanie na podstawie uzgodnionej przez obie zainteresowane strony umowy wprowadzającej różnorakie regulacje przejściowe, to na obecną chwilę coraz szersze i bardziej gorączkowe przygotowania toczą się w zakresie rozwiązania nazywanego powszechnie „hard Brexit”,  a więc wyjścia Wielkiej Brytanii z UE bez żadnej umowy. Oznacza to, że we wskazanej dacie Wielka Brytania z perspektywy UE i już wtedy tylko 27 państw członkowskich, stanie się tzw. państwem trzecim i przestaną mieć zastosowanie do niej wszystkie regulacje prawne Unii Europejskiej.

Niepewność prawa powoduje, iż różnego rodzaju instytucje i organy UE zaczęły przygotowywać się do współpracy z Wielką Brytanią na podstawie tymczasowych rozwiązań opierając się tylko i wyłącznie na jednostronnych regulacjach unijnych, które z jednej strony zapewnią zgodność działań z prawem UE, a z drugiej strony nie będę powodowały zbyt dużych komplikacji w kontynuowaniu współpracy.

Jednym z obszarów, wzbudzających szczególnie duże zainteresowanie, jest problematyka regulacji ochrony danych osobowych, która to problematyka stała się bardzo dobrze znana w związku z wejściem w życie w maju 2018 przepisów tzw. RODO.

W związku ze wskazanym potencjalnym hard Brexitem Europejska Rada ds. Ochrony Danych Osobowych wydała dokument wskazujący na możliwe postepowanie  w zakresie przepływu danych osobowych pomiędzy Unią Europejską a Wielką Brytanią. W sposób oczywisty jest to bardzo istotny i praktyczny problem, gdyż nawet jeśli dojdzie do wyjścia Wielkiej Brytanii z UE w nocy z 29 na 30 marca 2019, nie spowoduje to w sposób automatyczny zerwania wszelkich kontaktów gospodarczych, społecznych i innych, które związane są z przepływem danych osobowych. Przygotowany dokument ma charakter zaleceń odnośnie możliwego trybu postępowania unijnych administratorów danych osobowych.

W przypadku zaistnienia wskazanej sytuacji, transfer danych osobowych może odbywać się na podstawie:

  1. Standardowych lub doraźnych klauzul ochrony danych;
  2. Wiążących reguł korporacyjnych;
  3. Kodeksu postępowania i mechanizmu certyfikacji;
  4. Derogacji, przy czym mogą one być stosowane tylko wyjątkowo, jeśli brak jest podstaw do stosowania innych odpowiednich środków.

Najbardziej użytecznym instrumentem, który może być stosowany, jako podstawa transferu danych osobowych do Wielkiej Brytanii, są standardowe klauzule ochrony danych osobowych, przygotowane przez Komisję Europejską. Są to postanowienia umowne, które gwarantują legalny transfer danych osobowych do państw trzecich. Co bardzo istotne, dla prawidłowego ich stosowania kluczowym jest dosłowne i pełne stosowanie przygotowanych klauzul. A więc nie można stosować ich w sposób częściowy, czy też dokonywać samodzielnej modyfikacji, gdyż takie działania mogą skutkować uznaniem ich niepoprawności, a w efekcie nielegalnym transferem danych osobowych. Modyfikowane klauzule mają charakter tzw. klauzul doraźnych, formalnie dostosowanych do szczególnej sytuacji administratora. Jednak jak podkreślono, zawsze modyfikacje niosą ryzyko uznania stosowanych klauzul za niewystarczające, a więc niezgodne z prawem.

Standardowe klauzule obejmują zarówno relacje pomiędzy administratorami z UE i WB oraz administratorem z UE oraz procesorem z WB,  a więc podmiotem przetwarzającym dane na zlecenie administratora. Ów instrument w praktyce jest najłatwiej dostępnym instrumentem, dodatkowo zapewniającym pełną zgodność działań z prawem UE – RODO.

Drugi i trzeci zaproponowany instrument, a więc wiążące reguły korporacyjne oraz kodeks postępowania i mechanizmy certyfikacji, są w praktyce instrumentami jeszcze mało wykorzystywanymi. Dlatego zważywszy na dłuższy okres ich wdrażania, możliwość ich zastosowania do sytuacji, jaka nastąpi w przypadku ewentualnego hard Brexitu, jest bardzo mocno ograniczona.

Ostatnim instrumentem zapewniającym możliwość przepływu danych osobowych są derogacje, przede wszystkim te wskazane w art. 49 RODO, jednakże jak już podkreślono stosowanie owych regulacji szczególnych ma charakter zupełnie wyjątkowy. Przesłanki szczególne, jako podstawa legalnego transferu danych osobowych do Wielkiej Brytanii, muszą być stosowane zawężająco i tylko w przypadku, gdy przekazywanie danych ma charakter okazjonalny i z zasady nie jest powtarzane. Oznacza to, iż poniższe wskazane sytuacje mają charakter zupełnie wyjątkowy i nie mogą być podstawą do ciągłego czy powtarzalnego przepływu danych osobowych z UE do Wielkiej Brytanii.

Art. 49 RODO wskazuje na następujące szczególne sytuacje umożliwiające transfer danych osobowych:

„a)osoba, której dane dotyczą, poinformowana o ewentualnych ryzykach, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę; b) przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą; c) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną; d) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego; e) przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń; f) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody”.

Ostatnim bardzo kluczowym działaniem, które musi zostać podjęte przez administratora po identyfikacji właściwego instrumentu umożliwiającego transfer danych, jest aktualizacja dokumentacji wewnętrznej ochrony danych osobowych – RODO oraz wprowadzenie klauzul informujących podmioty danych (osoby fizyczne) o transferowaniu ich danych osobowych, poza terytorium do UE, a więc konkretnie do Wielkiej Brytanii.

Na koniec warto podkreślić, iż na obecną chwilę stanowisko Wielkiej Brytanii prezentowane w obszarze danych osobowych, stwierdza iż przepływ danych osobowych z Wielkiej Brytanii do UE będzie odbywał się bez żadnych przeszkód, na podstawie dotychczasowej praktyki.

W przypadku konieczności wsparcia Państwa działalności w obszarze ochrony danych osobowych, w związku ze spodziewanym Brexitem, Biuro Prawno – Rachunkowe Maciej Skorupiński sp. z o.o. służy Państwu fachową wiedzą i wsparciem w celu kontynuowania Państwa współpracy z Wielką Brytanią zgodnie z regulacjami RODO.

22 lutego 2019 RODO / IODO Możliwość komentowania Skutki „hard” Brexitu dla ochrony danych osobowych w Unii Europejskiej. została wyłączona

Rola pracowników w ochronie danych osobowych przetwarzanych przez przedsiębiorcę

Nowe rozwiązania unijne, funkcjonujące także w Polsce, w zakresie ochrony danych osobowych (tzw. RODO) nakładają szczególne obowiązki na podmioty przetwarzające dane osób fizycznych. System ochrony danych osobowych w Unii Europejskiej ukierunkowany jest na zapewnienie najwyższych standardów bezpieczeństwa danych odnoszących się do każdej osoby fizycznej. O ile podmiotem (administratorem) danych jest konkretny przedsiębiorca, czy to prowadzący swoją działalność w ramach jednoosobowej działalności gospodarczej, czy też w ramach spółki, to w praktyce to osoby współpracujące, najczęściej pracownicy przedsiębiorcy, są odpowiedzialni za pracę z danymi osób fizycznych. Dlatego też, od właściwego przeszkolenia pracowników, ich wiedzy oraz umiejętności praktycznych, zależy rzeczywisty poziom ochrony bezpieczeństwa danych osobowych w podmiocie je przetwarzającym, a tym samym przestrzeganie powszechnie obowiązującego prawa, które co warto podkreślić, powiązane jest z systemem kosztownych sankcji finansowych.
Analiza stopnia zaawansowania wdrażania nowych zapisów o ochronie danych osobowych w Polsce nasuwa jeden zasadniczy wniosek. Podmioty, które dokonały wdrożenia nowych zapisów, dokonały tego przede wszystkim formalnie, tzn. przygotowały dokumenty i odpowiednie klauzule informacyjne oraz poinformowały osoby, których dane przetwarzają o fakcie przetwarzania i o wejściu w życie nowych przepisów prawnych.
Jednakże dotychczasowe doświadczenie wynikające z kontaktów z administratorami danych osobowych i ich pracownikami wskazuje, iż najbardziej newralgiczny punkt całego systemu przetwarzania i ochrony danych osobowych został zaniedbany.
Niewielką uwagę poświęcono właściwemu przeszkoleniu osób (pracowników), na co dzień przetwarzających dane osobowe. Oczywiście posiadają oni właściwe upoważnia a nawet poświadczenia przeszkolenia, jednakże ich realna wiedza i umiejętności praktyczne są niewystarczające. Najczęstsze problemy dotyczą: niestosowania właściwych zabezpieczeń, braku rejestrowania wszystkich czynności przetwarzania danych, nieprawidłowych reakcji na zgłoszenia wniosków przez osoby, których dane są przetwarzane czy nieinformowania o incydentach związanych z naruszeniem danych osobowych.
Te braki narażają przedsiębiorców na ogromne ryzyko związane z naruszeniem danych osobowych czy nawet niewłaściwym albo brakiem raportowania o naruszeniach do podmiotów nadzorujących ochronę danych osobowych w Polsce. Takie zaniedbania będą natomiast skutkować znacznymi karami finansowymi, które z założenia mają mieć dotkliwy charakter dla podmiotów naruszających prawo z zakresu ochrony danych osobowych. Dodatkowo wystąpienie takich przypadków może skutkować odpowiedzialnością dyscyplinarną i odszkodowawczą pracowników, a w niektórych przypadkach może być podstawą rozwiązania stosunku pracy z pracownikiem, który dopuścił się naruszenia RODO.
Rozwiązaniem przeciwdziałającym wystąpieniu powyższych sytuacji, jest zadbanie o profesjonalne i praktyczne przeszkolenie swoich pracowników w zakresie RODO. Tylko cykliczne szkolenia i ewaluacja wiedzy pracowników pozwolą na utrzymanie właściwego poziomu ochrony danych osobowych w prowadzonej działalności gospodarczej oraz uniknięcie kar finansowych za naruszenia regulacji RODO.

16 sierpnia 2018 RODO / IODO, Szkolenia Możliwość komentowania Rola pracowników w ochronie danych osobowych przetwarzanych przez przedsiębiorcę została wyłączona

RODO – informacja

Szanowni Państwo,
przypominamy, iż w dniu 25.05.2018 r. zaczęły w Polsce obowiązywać przepisy Rozporządzenia Parlamentu Europejskiego i RADY (EU) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO lub GDPR).
Wspomniane przepisy nakładają na przedsiębiorców szereg obowiązków w zakresie ochrony danych osobowych, jak chociażby obowiązek prowadzenia stosownej dokumentacji oraz odpowiednich środków organizacyjnych oraz technicznych, które mają służyć zabezpieczeniu przetwarzanych danych osobowych.
Nowe regulacje dotyczą prawie wszystkich przedsiębiorców, albowiem jako przetwarzanie rozumie się jakiekolwiek działalnie na danych osobowych. Za klasyczny przykład przetwarzania w działalności gospodarczej uznaje się chociażby wystawienie faktury VAT na osobę fizyczną, w tym na osobę prowadząca jednoosobową działalność gospodarczą.
Obok nowych obowiązków oraz uprawnień RODO wprowadza również nowy katalog kar za stwierdzone naruszenia rozporządzenia.
Administracyjne kary pieniężne mają być nakładane zależnie od okoliczności każdego indywidualnego przypadku i mogą sięgać nawet do 20.000.000 euro a w przypadku przedsiębiorstwa –do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa.
Ewentualne ukaranie administratora lub procesora ww. karą pieniężną nie wyklucza przy tym jego odpowiedzialności cywilnej za ewentualne szkody, wobec osób, których dane osobowe są przetwarzane.

4 czerwca 2018 RODO / IODO Możliwość komentowania RODO – informacja została wyłączona
Ostatnie wpisy