16 października 2020

Brexit a ochrona danych osobowych. Jak wystąpienie Wielkiej Brytanii z Unii Europejskiej wpłynie na polskich przedsiębiorców?

Udostępnij

31 stycznia 2020 r. Wielka Brytania zawarła z Unią Europejską umowę o wystąpieniu Zjednoczonego Królestwa ze struktur europejskich[1] (dalej jako „Porozumienie wyjściowe”). Zgodnie z art. 185 tego porozumienia postanowienia umowy wchodzą w życie 1 lutego 2020 r. i od tego momentu Wielka Brytania nie może być traktowana jako jeden z krajów Unii Europejskiej. Nie oznacza to jednak, że wszystkie europejskie przepisy przestały obowiązywać na terytorium Zjednoczonego Królestwa. Do końca 2020 r. będzie trwać okres przejściowy, podczas którego wszystkie dotychczasowe regulacje będą mieć zastosowanie. Odnosi się to również do przepisów z zakresu ochrony i przetwarzania danych osobowych, zatem Ogólne rozporządzenie o ochronie danych[2] (dalej jako „RODO”) będzie obowiązywać na wyspach brytyjskich do końca tego okresu.

Trzeba jednak pamiętać, że Porozumienie wyjściowe reguluje stosunki pomiędzy Unią Europejską a Londynem jedynie tymczasowo. To, jakie zasady dotyczące danych osobowych będą mieć zastosowanie od początku 2021 r., nie jest jeszcze wiadome. Potencjalne zmiany mogą bezpośrednio wpłynąć na sytuację polskich przedsiębiorców, którzy współpracują z podmiotami działającymi w Wielkiej Brytanii, świadczą usługi na rzecz klientów z tego kraju lub przekazują dane osobowe do Zjednoczonego Królestwa. Pomimo tego stanu niepewności już dzisiaj jest możliwe  podjęcie konkretnych działań, które umożliwią ograniczenie ryzyka prawnego od 1 stycznia 2021 r.

Stan przejściowy i prawdopodobne rozwiązania

Ochrona danych – tak jak chociażby wymiana towarów i usług, kwestie dotyczące bezpieczeństwa czy polityka migracyjna – będzie przedmiotem intensywnych negocjacji pomiędzy Unią a Wielką Brytanią przez cały rok 2020. Możliwe, że rokowania zostaną zakończone podpisaniem szczegółowych umów, które będą regulować zasady współpracy na poszczególnych obszarach. Jeśli jednak nowe porozumienia nie zostaną zawarte do końca 2020 r., będzie to oznaczać  powrót widma tzw. twardego brexitu, czyli stanu, w którym Wielka Brytania z dnia na dzień zacznie być traktowana tak samo jak każde inne państwo trzecie spoza Unii Europejskiej, bez żadnych specjalnych zasad dotyczących współpracy.

Pomimo tego że taki stan nie będzie dla żadnej ze stron korzystny, ostatnie okresy chaotycznych negocjacji pokazały, że podobna sytuacja prawna jest jak najbardziej możliwa. Jakie będzie to mogło mieć skutki dla ochrony danych osobowych w Unii Europejskiej? Zgodnie z art. 71 Porozumienia wyjściowego prawo Unii dotyczące ochrony danych osobowych ma zastosowanie do Zjednoczonego Królestwa w odniesieniu do przetwarzania danych osobowych osób, których dane dotyczą, spoza Zjednoczonego Królestwa, jeśli dane osobowe były przetwarzane zgodnie z prawem Unii w Zjednoczonym Królestwie przed zakończeniem okresu przejściowego. Oznacza to tyle, że Wielka Brytania do 31 grudnia 2020 r. będzie traktowana przez RODO tak jakby cały czas była państwem członkowskim. Co do zasady podmioty z państw Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego, czyli  dodatkowo Islandia, Norwegia i Lichtenstein, w których obowiązuje jednolite prawo ochrony danych, mogą transferować pomiędzy sobą dane osobowe bez dodatkowych ograniczeń. Jednak jeśli Wielka Brytania nie zawrze dodatkowego porozumienia z Unią Europejską, od 2021 r. będzie traktowana jako państwo trzecie i z tego powodu przekazywanie danych do Zjednoczonego Królestwa może być znacznie utrudnione.

Oprócz negatywnego scenariusza bezumownego brexitu możliwe są również inne rozwiązania. Jednym z nich jest pozostanie Wielkiej Brytanii w członkostwie Europejskiego Obszaru Gospodarczego. W takiej sytuacji Zjednoczone Królestwo cały czas miałoby dostęp do unijnego rynku towarów, usług oraz kapitału. Związane byłoby to jednak również z koniecznością utrzymania swobodnego przepływu osób, przez co taki scenariusz wydaje się najmniej możliwy. Ze względu na powody, jakie stały za przeprowadzeniem brexitu oraz nastawienie polityczne mieszkańców wysp,  władze w Londynie będą najprawdopodobniej unikać pozostania w tak ścisłej współpracy z UE. Jednak pod względem ochrony danych osobowych taki scenariusz byłby najbardziej korzystny. Zgodnie z nim Wielka Brytania nie byłaby traktowana jako państwo trzecie, a zasady przekazywania danych na jej terytorium de facto nie uległyby zmianie.

Kolejną możliwością rozwiązania tej sytuacji jest tzw. „scenariusz szwajcarski”. Polegałby on na zawarciu szeregu szczegółowych umów pomiędzy Wielką Brytanią a Unią Europejską, które dotyczyłyby oddzielnie każdego elementu współpracy. Jak uczy doświadczenie, negocjowanie podobnych porozumień może być bardzo czasochłonne. Często wypracowanie kompromisów w tak delikatnych kwestiach gospodarczych może trwać lata, a w tej sytuacji powinny one zostać podpisane do końca 2020 r. Mając na uwadze okoliczności związane z ogólnoświatową pandemią COVID-19, która zatrzymała życie gospodarcze i zwiastuje nadchodzący kryzys, wydaje się, że zawarcie odpowiednich umów na czas staje się coraz mniej możliwe. Dodatkowo, brytyjska ustawa regulująca proces wyjścia Wielkiej Brytanii z Unii, tzw. Withdrawal Agreement Bill (WAB), przewiduje, że termin 31 grudnia 2020 r. przewidziany w Porozumieniu wyjściowym nie może zostać przedłużony. 

Ostatnim scenariuszem pozostaje opisany wyżej brexit bezumowny. W takiej sytuacji Wielka Brytania stałaby się automatycznie państwem trzecim w rozumieniu przepisów o ochronie danych osobowych, a przekazywanie do niej danych byłoby obarczone takimi samymi rygorami, jak przesyłanie ich do tak odległych krajów jak Mongolia czy Nigeria. Taka sytuacja wymagałby ustalenia od każdego administratora podstawy legalizującej przekazywanie danych osobowych do państwa trzeciego, o której mowa w rozdziale V RODO. Dodatkowo będzie się to wiązać z modyfikacją całej dokumentacji związanej z przetwarzaniem danych, a przede wszystkim klauzul informacyjnych oraz rejestrów czynności przetwarzania. Konieczne będzie również zawarcie nowych lub aktualizacja poprzednich umów powierzenia przetwarzania ze wszystkimi procesorami danych z terenu Wielkiej Brytanii. Oczywiste jest, że te wszystkie działania będą związane z dodatkowymi kosztami, co może skutkować tym, że przedsiębiorcy z Unii Europejskiej szukając oszczędności, będą dążyć do zakończenia współpracy z podmiotami rezydującymi na terenie Wielkiej Brytanii. Jednak im wcześniej odpowiednie działania zostaną podjęte również przez polskich przedsiębiorców, tym nadchodzące zmiany będą mniej kosztowne, a przetwarzane dane osobowe zostaną odpowiednio zabezpieczone. To, jakie czynności powinny zostać przeprowadzone, zostało wskazane również w stanowiskach organów regulacyjnych zajmujących się ochroną danych osobowych.

Organy regulacyjne i kolejność podejmowania działań

Polskie Ministerstwo Cyfryzacji już w styczniu 2019 r. zdecydowało się na wydanie przewodnika prawnego dla przedsiębiorców związanego z sytuacją wokół brexitu[3]. Pomimo że dokument został przygotowany na wypadek bezumownego wyjścia Wielkiej Brytanii, które miało nastąpić 30 marca 2019 r., to wiele uwag i porad w nim zawartych można zastosować również w obecnej sytuacji. Podobny dokument został wydany przez Komisję Europejską, która w ramach skoordynowanego podejścia Unii do przeciwdziałania skutkom wystąpienia Zjednoczonego Królestwa bez umowy, opisała zasady ochrony danych w takiej sytuacji[4]. Wskazane dokumenty oraz ogólne zasady wynikające z RODO dają możliwość ustalenia, jakie kroki powinny być podjęte przez polskich przedsiębiorców, aby zachowali oni zgodność z regulacjami europejskimi. Nie można zapominać, że również w tej sytuacji kary finansowe przewidziane przez RODO będą mogły być zastosowane. Zgodnie z art. 83 ust. 5 lit. c RODO naruszenie przepisów związanych z przekazywaniem danych osobowych do państw trzecich, jest obwarowane administracyjną karą pieniężną sięgającą maksymalnie 20 mln euro lub 4% całkowitego rocznego obrotu przedsiębiorstwa.

Co więc można zrobić już w tym momencie, aby ochronę danych w swojej instytucji przygotować do bezumownego brexitu w dniu 1 stycznia 2021 r.? W pierwszej kolejności przedsiębiorcy powinni dokonać swoistego due diligence swojego procesu przetwarzania danych osobowych. Najłatwiej będzie go rozpocząć od analizy dokumentu rejestru czynności przetwarzania, który, zgodnie z przepisami RODO, powinien prowadzić każdy administrator danych. Na jego podstawie będzie możliwe ustalenie, które z czynności przetwarzania są związane z przekazywaniem danych osobowych do Zjednoczonego Królestwa. Jest to najważniejsza część całego procesu dostosowania się do bezumownego brexitu i bez jej prawidłowego przeprowadzenia kolejne czynności będą niemożliwe do zastosowania. Ten moment pokazuje również, jak ważne było wdrożenie RODO w przedsiębiorstwie od samego początku jego obowiązywania. Bez prawidłowo zmapowanych procesów przetwarzania i wszystkich transferów danych, które są z nimi związane, ocena dokonywana w tym momencie będzie niekompletna.

Pomimo że duża część przedsiębiorców może na tym etapie dojść do wniosku, że żadne dane osobowe nie są przez nich przekazywane do Wielkiej Brytanii, powinni oni bardzo dokładnie przeanalizować wszystkie możliwości. Jeśli rzeczywiście podmiot nie współpracuje z żadnym partnerem z Wysp Brytyjskich, nie obsługuje klientów z tego obszaru oraz nie ma podpisanych umów powierzenia przetwarzania z procesorami z Wielkiej Brytanii, nie oznacza to automatycznie tego, że nie przekazuje żadnych danych na wskazane terytorium. Warto dodatkowo przeanalizować wszystkie narzędzia informatyczne, z których korzystamy. Sprawdźmy dokładnie, gdzie fizycznie znajdują się serwery, na których została postawiona nasza strona internetowa lub na których znajdują się nasze pliki przechowywane w chmurze. Upewnijmy się, że żadna usługa w chmurze nie jest nam dostarczana z terytorium Wielkiej Brytanii. Dotyczy to również tych drobnych usług, o których nie pomyślelibyśmy na początku, czyli np. rozszerzenia dla naszej strony internetowej, które instalują pliki cookies użytkownikom czy narzędzia wykorzystywane do wysyłki newslettera.

Po ustaleniu zakresu danych przekazywanych do Wielkiej Brytanii oraz procesów z tym związanych, przedsiębiorcy powinni ocenić, czy po bezumownym brexicie nadal będą chcieli przekazywać te dane. Z pewnością będzie to związane z tym, czy znajdą oni odpowiednią podstawę legalizacyjną takiego przesyłania oraz jak bardzo problematyczne będzie dostosowanie się do niej. Podstawy legalizujące takiego przesyłania są określone w rozdziale V RODO i jedną z nich jest przekazywanie danych do kraju objętego decyzją stwierdzającą odpowiedni stopień ochrony. Takie decyzje wydawane są przez Komisję Europejską i w obecnym momencie obejmują 13 krajów[5], jednak Wielka Brytania z oczywistych powodów nie jest jednym z nich. Zgodnie z oficjalnymi wypowiedziami Komisji w najbliższej przyszłości nie jest planowane wydawanie kolejnych decyzji o odpowiednim stopniu ochrony. W związku z tym przekazując dane do Zjednoczonego Królestwa, będzie konieczne oparcie się o inną przesłankę legalizująca.

Kolejną możliwą przesłanką, której zastosowanie jest bardzo promowane przez organy regulacyjne, są tzw. standardowe klauzule umowne, o których mowa w art. 46 ust. 2 lit. c RODO. Wskazane klauzule to nic innego niż zatwierdzone w odpowiednim trybie postanowienia umowne, które powinny znaleźć się w kontraktach pomiędzy przedsiębiorcą z Unii Europejskiej, a podmiotem z Wielkiej Brytanii, do którego dane są przekazywane. Do tej pory Komisja Europejska zatwierdziła trzy zestawy standardowych klauzul umownych, jakie podmioty gospodarcze mogą bezpośrednio wykorzystywać w przypadku przekazywanych danych do państwa trzeciego. Klauzule zawierają się w następujących aktach – decyzjach 2001/497/WE[6] i 2004/915/WE[7] (dotyczące postanowień, gdy dane przekazywane są innemu administratorowi) oraz decyzji 2010/87/UE[8] (dotyczy sytuacji przekazu danych do procesora). Oczywiście zastosowanie standardowych klauzul wymaga obustronnego działania – podmiot z Wielkiej Brytanii musi zgodzić się na ich zastosowanie i zawrzeć umowę, która będzie zawierać odpowiednie postanowienia. W tym zakresie nie należy się raczej spodziewać, aby przedsiębiorcy ze Zjednoczonego Królestwa aktywnie odmawiali podpisywania takich umów. Problemem będzie raczej kontakt pomiędzy stronami i możliwa długotrwałość tego procesu. Z tego powodu negocjowanie odpowiednich umów można zacząć już dzisiaj, a ich obowiązywanie ustalić od dnia 1 stycznia 2021 r.

Widok z nabrzeża Tamizy na londyński Big Ben, gmach w piaskowym kolorze z wysoką, smukłą wieżą zegarową w stylu neogotyku angielskiego. Niebo jest pochmurne i nadchodzi zmierzch

Inną podstawą legalizującą, która może być wykorzystywana w opisywanej sytuacji, są wiążące reguły korporacyjne, o których mowa w art. 47 RODO. Są to polityki ochrony danych osobowych stosowane przez grupę przedsiębiorców prowadzących wspólną działalność gospodarczą, które zostały zatwierdzone przez odpowiednie organy i są wykorzystywane w międzynarodowym przekazywaniu danych z Unii do jednego z podmiotów w tej samej grupie przedsiębiorstw. W praktyce oznacza to najczęściej jednolitą politykę dotyczącą danych przyjętą dla grupy kapitałowej, która posiada swoje podmioty zarówno na terenie Unii Europejskiej jak i poza nią. Takie reguły korporacyjne umożliwiają przekazanie danych osobowych do podmiotu z tej grupy spoza UE. Aby wiążące reguły korporacyjne mogły być uznawane za zapewniające odpowiednie zabezpieczenia w zakresie ochrony danych osobowych, wymagają one zatwierdzenia przez organ nadzorczy – w przypadku Polski będzie nim Prezes Urzędu Ochrony Danych Osobowych. Dokument może zostać zatwierdzony tylko wtedy, gdy spełnia długą listę wymagań wskazanych w art. 47 ust. 2 RODO. Jak można zauważyć, ta podstawa legalizacyjna odnosi się do specyficznej sytuacji i może zostać wykorzystana tylko przez przedsiębiorstwa o charakterze transgranicznym.

Dodatkowymi podstawami legalizującymi są zatwierdzone kodeksy postępowania, o których mowa w art. 40 RODO lub mechanizmy certyfikacji zgodne z art. 42 RODO. Oba ze wskazanych instrumentów muszą w takiej sytuacji zawierać wiążące i egzekwowalne zobowiązania administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą. Zarówno kodeksy postępowania, jak i mechanizmy certyfikacji miały być elementem sektorowych samoregulacji rynku, które pomagają w prawidłowym stosowaniu przepisów rozporządzenia. Jednak pomimo kilku inicjatyw, które pojawiły się w tym zakresie na polskim rynku (np. wnioski o zatwierdzenie kodeksów przygotowanych przez Związek Banków Polskich lub Federacje Polskich Szpitali), PUODO nie podjął jak na razie decyzji w przedmiocie zatwierdzenia żadnego z nich. Z tego powodu należy raczej przygotować się na sytuację, że polskie podmioty nie będą mogły skorzystać z tych instrumentów przed 1 stycznia 2021 r.

Oprócz wskazanych powyżej podstaw legalizacyjnych jest możliwe również przekazanie danych poza UE na podstawie kilku wyjątków przewidzianych przez RODO. Obejmują one m.in. takie sytuacje jak:

  • otrzymanie zgody od osoby, której dane dotyczą, po tym jak poinformujemy ją o ewentualnym ryzyku, z którym może wiązać się proponowane przekazanie;
  • przekazanie jest niezbędne do wykonania lub zawarcia umowy między osobą, której dane dotyczą, a administratorem lub umowa taka zawierana jest w interesie tej osoby;
  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.

To jedynie niektóre z wyjątków, które można wykorzystać, jednak wielokrotnie wszystkie organy regulacyjne oraz Komisja Europejska w swoich komunikatach podkreślały ekstraordynaryjność tych sytuacji. Z tego powodu, iż stanowią one odstępstwo od zasady nakazującej zapewnienie odpowiednich zabezpieczeń, muszą być interpretowane w sposób zawężający i wiązać się głównie z czynnościami przetwarzania, które są sporadyczne i nie mają charakteru powtarzalnego.

Ostatecznie jeśli nie zachodzi żaden ze wskazanych wyjątków, administrator przekazujący dane może spróbować powołać się na art. 49 ust. 1 akapit 2 RODO. W takiej sytuacji musi on spełnić szereg przesłanek (m.in. niezbędność ze względu na swoje prawnie uzasadnione interesy), a każde pojedyncze przekazanie powinno zostać notyfikowane organowi nadzorczemu oraz powinna zostać o nim poinformowana osoba, której dane dotyczą.

Jak łatwo zauważyć, RODO daje dużo możliwości dla tworzenia struktury przesyłania danych osobowych poza obszar Unii Europejskiej. W przypadku polskich przedsiębiorców struktura przekazywania danych do Wielkiej Brytanii będzie zazwyczaj wyglądać w podobny sposób. W pierwszej kolejności powinni oni wprowadzić do swoich kontraktów standardowe klauzule umowne, ze szczególnym uwzględnieniem umów powierzenie przetwarzania. W drugiej kolejności polskie podmioty powinny przeanalizować możliwe wyjątki od podstaw legalizujących i przygotować się na ich zastosowanie w sytuacjach, gdy przekazanie danych było incydentalne. Oprócz odpowiedniego odwzorowania tych zmian w dokumentach wewnętrznych związanych z danymi osobowymi, takimi jak polityka ochrony danych oraz rejestr czynności przetwarzania, powinny one zostać również wskazane w dokumentach zewnętrznych okazywanych osobom, których dotyczą dane osobowe. Chodzi tutaj przede wszystkim o klauzule informacyjne, które często stanowią treści Polityk Prywatności stron internetowych – powinny one zawierać jasną informację o przekazywaniu danych poza Europejski Obszar Gospodarczy.

Działania Wielkiej Brytanii

To, jak dokładnie będzie wyglądało przekazywanie danych osobowych do Wielkiej Brytanii po 1 stycznia 2021 r., będzie zależało również od tego, jakie regulacje zostaną przyjęte w Zjednoczonym Królestwie po tym, jak RODO przestanie tam obowiązywać. Do pewnego momentu brytyjskie organy przedstawiały jednolite stanowisko i mówiły, że zostaną przyjęte przepisy analogiczne do europejskiego rozporządzenia o ochronie danych. Jednak premier Boris Johnson od początku 2020 r. zaczął przedstawiać odrębne podejście, które sugeruje, że Wielka Brytania będzie dążyć do niezależnego systemu ochrony danych. Potwierdziła to również Nicky Morgan, szefowa ministerstwa odpowiedzialnego za cyfryzację, która mówiła o podjęciu kroków w celu odblokowania potencjału danych. Takie oświadczenia mogą sugerować, że Zjednoczone Królestwo przyjmie mniej restrykcyjne i bardziej liberalne przepisy o ochronie danych oraz będzie chciało przyciągnąć do swojej jurysdykcji spółki technologiczne. Może to poskutkować rozwinięciem badań nad sztuczną inteligencją czy internetem rzeczy, jednak z pewnością opóźni lub nawet uniemożliwi Komisji Europejskiej wydanie decyzji o odpowiednim stopniu ochrony.

Jeszcze jednym negatywnym skutkiem brexitu będzie najprawdopodobniej zakończenie działalności przez brytyjski Information Commissioner's Office (ICO), czyli odpowiednika polskiego urzędu ochrony danych osobowych. Ten bardzo prężnie działający organ regulacyjny był jednym z największych autorytetów w kształtowaniu praktyki stosowania przepisów dotyczących ochrony danych. Urząd publikował wiele dokumentów, opracowań i poradników, z których korzystali również polscy przedsiębiorcy. Od 1 stycznia 2021 r. nie będzie już możliwe oficjalne powołanie się na jego nowe stanowiska, zwłaszcza gdy Wielka Brytania przyjmie regulacje prawne diametralnie różne od RODO. Już w tym momencie na stronie internetowej ICO znajduje się zestaw dokumentów przygotowanych na wypadek bezumownego brexitu – jednym z nich jest np. kompletny poradnik dla brytyjskich przedsiębiorców „Data protection if there’s no Brexit deal”. Narzędziem, które może być szczególnie przydatne dla polskich przedsiębiorców, jest darmowy i w pełni interaktywny interfejs[9] pozwalający za pomocą przeglądarki zbudować odpowiednie umowy o przekazywaniu danych zawierające standardowe klauzule umowne w rozumieniu RODO. Pozwala on w kilka chwil zbudować gotowe do podpisu dokumenty, które dodatkowo mogą być edytowane i dostosowywane do potrzeb podmiotów gospodarczych. Przedstawienie otrzymanego w taki sposób wzoru umowy na początku negocjacji z brytyjskimi kontrahentami pozwoli polskim przedsiębiorcom sprawnie przejść przez cały proces rozmów, a przez to odpowiednio zabezpieczyć przetwarzane przez siebie dane osobowe jeszcze przed ostatecznym wyjściem Wielkiej Brytanii z Unii Europejskiej.

Adam Polanowski,

praktyka nowych technologii w kancelarii Wardyński i Wspólnicy         

Przeczytaj więcej takich artykułów w strefie wiedzy PARP 

Artykuł pochodzi z biuletynu Euro Info Enterprise Europe Network nr 5/2020


 

[1] Umowa o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej (2019/C 384 I/01), dostęp online: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:12019W/TXT(02)

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. L 119 z 4.5.2016, str. 1—88.

[3] „RODO, a Brexit. Poradnik dla przedsiębiorców”, Ministerstwo Cyfryzacji, styczeń 2019, dostęp: http://www.brexit.gov.pl/wp-content/uploads/2019/04/Przewodnik-Brexit-compressed-1.pdf

[4] Załącznik do komunikatu Komisji do Parlamentu Europejskiego, Rady Europejskiej, Rady, Europejskiego Banku Centralnego, Europejskiego Komitetu Ekonomiczno-Społecznego, Komitetu Regionów I Europejskiego Banku Inwestycyjnego - Przeciwdziałanie skutkom wystąpienia Zjednoczonego Królestwa z Unii bez umowy: skoordynowane podejście Unii, Ochrona danych: skoordynowane podejście w przypadku wystąpienia Zjednoczonego Królestwa z Unii bez porozumienia; COM(2019) 195 final, ANNEX 6

[5] Państwa i terytoria, o których mowa to: Andora, Argentyna, Kanada (wyłącznie organizacje handlowe), Wyspy Owcze, Guernsey, Izrael, Wyspa Man, Japonia, Jersey, Nowa Zelandia, Szwajcaria, Urugwaj oraz Stany Zjednoczone (wyłącznie współpraca w ramach Tarczy Prywatności).

[6] Decyzja Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE (notyfikowana jako dokument nr C(2001) 1539), dostęp online: https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX:32001D0497

[7] Decyzja Komisji z dnia 27 grudnia 2004 r. zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (notyfikowana jako dokument nr K(2004) 5271), dostęp online: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32004D0915

[8] Decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (notyfikowana jako dokument nr C(2010) 593), dostęp online: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32010D0087

[9] Dostęp online: https://ico.org.uk/for-organisations/data-protection-and-brexit/keep-data-flowing-from-the-eea-to-the-uk-interactive-tool/