ICO przede wszystkim chce się dowiedzieć czy pomocne byłoby przyjęcie rozwiązania dzięki któremu przekazywanie danych osobowych z Wielkiej Brytanii będzie możliwie na podstawie standardowych klauzul umownych przyjętych niedawno przez Komisję Europejską.
Ponadto, konsultacje dotyczą zakończenia akceptacji dotychczasowych SCC, które były tymczasowe, przygotowanie nowej umowy dotyczącej międzynarodowego transferu danych, opracowanie oceny ryzyka transferu czy aktualizacji wytycznych dotyczących przekazywania danych. Konsultacje trwają do 7 października.
Do czasu wypracowania nowych rozwiązań przez ICO. Podmioty, które prowadząc interesy w Wielkiej Brytanii nie mogą wykorzystywać SCC przygotowanych przez Komisję Europejską. Dlatego też dla takich podmiotów konieczne jest przygotowanie alternatywnych rozwiązań dla Unii Europejskiej i Wielkiej Brytanii.
Z całą pewnością podmioty w Wielkiej Brytanii nie mogą korzystać ze starych SCC, które obecnie są zaakceptowane przez ICO, a nie gwarantują zabezpieczenia danych osobowych. Nie uwzględniają one wszystkich przepisów ogólnego rozporządzenia o ochronie danych osobowych ani wyroku w sprawie Schrems II. Można spodziewać się ich wygaszenia jak tylko ICO przyjmie nowe rozwiązanie. Oczywiście przewidywany jest okres przejściowy, który pozwoli na dostosowanie się podmiotów.
ICO zaproponował wzór międzynarodowej umowy o przekazywaniu danych, również wobec tego dokumentu można wyrazić swoje zdanie w ramach konsultacji. W odróżnieniu od niedawno przyjętych przez Komisję Europejską SCC, ICO stawia na uniwersalność. Umowa nie ma struktury modułowej, która wymaga modyfikacji zależnie od stron zawierających umowę. Propozycja ICO ponadto wypełnia niektóre luki, które nie zostały ujęte w unijnych SCC – umowa może być również zawarta pomiędzy podmiotami podlegającymi brytyjskiemu RODO jak i przewiduje więcej scenariuszy jak np. transfer pomiędzy współadministratorami.
Jednocześnie postanowienia umowne w obecnym kształcie zobowiązują strony umowy do corocznego przeglądania transferów, poszerzono także zakres obowiązków, które muszą spełnić administratorzy w przypadku współadministratowania danymi tj. obowiązek spełnienia każdego uzasadnionego żądania osoby, której dotyczą.
Co więcej, ICO przewiduje konieczność przeprowadzenia procedury oceny ryzyka transferu. Jest to procedura, która ma być powiązana z międzynarodową umową o przekazywaniu danych, ale w formie nieobowiązkowej. Przedstawiony wzór oceny ryzyka transferów powinien być wykorzystywany do rutynowych ocen ryzyka. Gdy ryzyko przetwarzania będzie wysokie lub będzie związane z transferem do kraju, które ma niski poziom ochrony praw człowieka ocena będzie musiała przyjąć formę bardziej szczegółową.
ICO w zaproponowanych rozwiązaniach dotyczących procedury oceny ryzyka transferu ma odmienne podejście niż rozwiązania unijne. Nie jest wymagane by transfer danych odbywał się jedynie do krajów, które mają tożsame systemy prawne. Ponadto przedstawia przykłady transferów ze względu na poziom ryzyka, jak też zawiera scenariusze, które obrazują jakie transfery są dozwolone.
ICO wskazuje na bardziej całościową analizę państwa, do którego dane z Wielkiej Brytanii będą transferowane. Zdaniem organu ważne jest nie tylko badanie systemów prawnych i możliwości dostępu do danych przez organy publiczne, ale również inne elementy jak np. trudności w egzekwowaniu wyroków czy korupcja. Sam dokument dotyczący oceny ryzyka ma prawie 50 stron co może sprawić trudności we wdrożeniu u małych i średnich przedsiębiorstw.
W ramach prowadzonych konsultacji, ICO chciałby uzyskać również odpowiedzi na pytanie czy w przypadku współadministrowania danych, gdy jeden z administratorów ma siedzibę w Wielkiej Brytanii, oznacza to że brytyjskie przepisy dotyczące ochrony danych mają zastosowanie wobec wszystkich pozostałych administratorów.
ICO w prowadzonych konsultacjach przedstawia swoje wstępne stanowisko i zachęca do przedstawienia opinii. Jednocześnie zajmuje się tematami trudnymi, a czasami i kontrowersyjnymi. Wiele z tych tematów oczekuje również na opracowanie w Unii Europejskiej, ale Europejskiej Radzie Ochrony Danych jako ciału kolegialnemu dużo trudniej uzgodnić stanowisko niż pojedynczemu organowi jakim jest ICO.
Źródło: https://iapp.org/news/a/faqs-for-uk-icos-data-transfer-consultation-including-approach-to-eu-sccs/
