W świetle panującej w chwili obecnej niepewności, spowodowanej światową pandemią wirusa Covid oraz Brexitem, stoimy przed wieloma wyzwaniami odnośnie ochrony danych.
Ogólne rozporządzenie o ochronie danych (GDPR) zostało ogłoszone w dniu 14 kwietnia 2016 i weszło w życie na terytorium calej Unii Europejskiej w dniu 25 maja 2018. Akt ten nie tylko reguluje kwestie ochrony danych w UE ale rownież sięga poza jej terytorium, ponieważ obowiązuje on firmy spoza UE, które dostarczają usług jej obywatelom. Ponadto, GDPR zawiera regulacje, dotyczące przesyłania danych osobowych poza terytorium UE, pozwalając na nie tylko w określonych przypadkach i przy zastosowaniu określonych środków ochrony.
Chociaż powyższy akt legislacyjny stanowil konieczny krok w celu ochrony wolności osobistych (zwłaszcza prywatności), przyciągnął on ogromną uwagę ze względu na powagę zmian, które wprowadził.
Znaczącym jest, że Biuro do spraw osobowych (które nadzoruje ochronę danych w Wielkiej Brytanii) otrzymał nowe uprawnienia, między innymi prawo do wymierzenia grzywny administracyjnej wskazanej w artykule 83 rozporzadzenia: “[…] Naruszenie […] będzie, zgodnie z paragrafem 2, podlegało grzywnie administracyjnej do wysokości 20 000 0000 euro, lub w przypadku przedsiębiotrstw, do 4% wartości całkowitego obrotu w roku finansowym, w którym miało miejsce postępowanie, w zależności od tego, która kwota jest wyższa.” ”
Uprawnienie to znajduje również potwierdzenie w krajowym ustawodawstwie, zwłaszcza w sekcji 157 ustawy o ochronie danych z roku 2018.
“(1) w przypadku naruszenia postanowienia GDPR, maksymalna wysokość kary, która może być wymierzona mandatem karnym to-
(a) kwota wskazana w artykule 83 GGDPR, lub
(b) przy braku wskazania konkretnej kwoty w przepisie powyżej, standardowa maksymalna kwota.”
Niemniej, GDPR stanowi element ustawodawstwa UE, w związku z czym znajduje bezpośrednie zastosowanie tylko wobec państw członkowskich UE, do których Wielka Brytania nie należy od godziny 23:00 (czasu Wilekiej Brytanii) 31 stycznia 2020.
Jednkże umowa o Współpracy Handlowej zawarta pomiędzy UE-UK wprowadza wozwiązanie pomostowe, które umożliwia dalszy wolny przepływ danych osobowych z krajów UE/EEA to Wielkiej Brytanii po okresie przejściowym, dopóki odpowiednia decyzja nie wejdzie w życie, nie później niż do 6 miesięcy. Odpowiednie decyzje UE wydane w stosunku do Wielkiej Brytanii zapewnią dalszy wolny przepływ danych pomiędzy strefą państw EEA a Wielką Brytanią.
Istnieje duże prawdopodobieństwo, że UE wyda rozstrzygniecie, potwierdzące słuszność prawa Wielkiej Brytanii, a zatem wprowadzające mechanizm wolnego przepływu informacji pomiędzy UE i Wielką Brytanią.
Niestety, nie mamy pewności, że dojdzie do takiego rozwiązania. Dlatego też, zalecanym jest, aby zainteresowane firmy podjęły adekwatne działania w celu zabezpieczenia się jeszcze przed upływem terminu przejściowego.
W przypadku braku wydania odpowiedniego rozstrzygniecia w powyższej sprawie przed uplywem okresu przejsciowego, Wielka Brytania będzie traktowana jako kraj trzeci, co z kolei będzie mialo powazne implikacje w sprawie przepływu danych do oraz z Wielkiej Brytanii. GDPR zastrzega w artykule 44:
„Wszelki przeplyw danych osobowych, które podlegają przetwarzeniu lub, ktore mogą podlegać przetwarzeniu po ich przekazaniu do państwa trzeciego lub do organizacji miedynarodowej, będzie miał miejsce wyłącznanie wówczas, z zastrzeżeniem innych zapisów nieniejszego Zarządzenia, gdy zapisy wprowadzone w niniejszym Dziale są zgodne z kontrolerem lub przetwórcą, włączając również dalsze przepływy danych osobowych z państwa trzeciego lub międzynarodowej organizacji do innego państwa trzeciego lub do międzynarodowej organizacji.”
Odnośnie działalności gospodarczej, jedną z opcji będzie zastosowanie Standardowych Klauzul Umownych. Inną opcją pozostaje zastosowanie wiążacych reguł lub innych mechanizmów i derogacji w celu uzyskania danych osobowych z EU.
W międzyczasie, mając na uwadze Rozporzadzenie o Ochronie Danych, Prywatności i Komunikacji Elektronicznej (SI 2019/419) (DP Rozporzadzenia Brexit) GDPR oraz stosowany GDPR zostaną połączone w celu utworzenia GDPR Wielkiej Brytanii, zwiększając możliwość adekwatnego zastosowania decyzji UE.
Jest ogromnie ważnym aby przygotować się na możliwość negatywnego rozwiązania odnośnie adekwatnej decyzji. Należy bowiem pamiętać, jak zostało to już wcześniej wskazane, że GDPR narzuca ostre mandaty w wysokości do 20 000 000 euro [lub] do 4% wartości całkowitego obrotu w roku finansowym, w którym miało miejsce postępowanie, w zależności od tego, która kwota jest wyższa.
Możemy pomóc ci lepiej zrozumiec implikacje jakie niesie ze sobą Brexit w kontekście twoich obowiązków w zakresie ochrony danych oraz wesprzeć w w sporządzeniu odpowiednich dokumentów, które umożliwią kontynuowanie działalności bez dodatkowych utrudnień.