Brexit a przepływ danych osobowych

Brexit a przepływ danych osobowych

Krzysztof Grabowski, Inspektor Ochrony Danych Osobowych 
2021-04-12
Brexit a przepływ danych osobowych
W związku z Brexitem w Wielkiej Brytanii przestały obowiązywać przepisy UE, w tym także Rozporządzenie o Ochronie danych osobowych (RODO). Aktualnie, na skutek klauzul pomostowych zawartych pomiędzy UK-UE, do 1 lipca 2021 został utrzymany swobodny przepływ danych osobowych pomiędzy stronami. Jak sytuacja będzie wyglądała po zakończeniu okresu przejściowego?

Najbardziej prawdopodobne jest, że od połowy 2021 roku do przepływu danych osobowych pomiędzy Wielką Brytanią a krajami Unii Europejskiej stosowane będą przepisy art. 45 RODO. Oznacza to, że Komisja Europejskiego organu będzie musiała stwierdzić odpowiedni stopień ochrony i tym samym zezwolić na przekazywanie danych bez podatkowych formalności.

Przepisy dotyczące ochrony danych osobowych w Wielkiej Brytanii (United Kingdom General Data Protection Regulation) są wzorowane na ich europejskim odpowiedniku i zawierają rozszerzenie w kwestiach: bezpieczeństwa narodowego, służb wywiadowczych i imigracji. Nie widać więc podstaw do zakwestionowania stwierdzenia, że zapewniają danym osób fizycznych analogiczny poziom bezpieczeństwa, jak w krajach UE.

Dane osobowe - jakie działania powinny zostać podjęte w związku z Brexitem?

Kluczową kwestią jest wskazanie relacji administratora wobec przepływu danych osobowych. Rozróżniamy dwie najważniejsze relacje:

  • Firmy mające siedzibę w Wielkiej Brytanii oferujące lub monitorujące osoby fizyczne z EOG
  • Firmy z EOG przekazujące dane do Wielkiej Brytanii

Firmy przetwarzające dane osób z EOG muszą wyznaczyć przedstawiciela do spraw ochrony danych osobowych, który będzie miał swoją siedzibę również w EOG i będzie kontaktem dla tych osób. Dane kontaktowe do przedstawiciela powinny zostać zawarte w klauzuli informacyjnej.

Bardziej złożona wydaje się sprawa przekazywania danych przez Administratorów do Wielkiej Brytanii, ponieważ wymaga ona aktualizacji informacji o transferach danych osobowych. Pierwszym krokiem jest zidentyfikowanie wszystkich procesów, w których występuje transfer. Następie powinna odbyć się aktualizacja podstaw prawnych w rejestrze kategorii czynności przetwarzania i zmiany w obowiązkach informacyjnych poprzez dodanie informacji o przekazywanie danych do krajów trzecich. 

Ochrona danych osobowych

Skontaktuj się z ekspertem

Krzysztof Grabowski
Krzysztof Grabowski
Inspektor Ochrony Danych Osobowych
Crowe