Zidentyfikowanie transferów do państw trzecich

Pierwszym krokiem powinno być ustalenie czy w ramach grupy kapitałowej planowane są lub już występują transfery danych osobowych do państwa trzeciego.  

RODO precyzyjnie definiuje „państwo trzecie”, co pozwala na jednoznaczne ustalenie kręgu krajów, które powinny być określane tym mianem i do których, w związku z tym, powinno się stosować szczególną regulację wynikającą z przepisów ww. rozporządzenia – są to, jak zostało już zasygnalizowane, państwa spoza Europejskiego Obszaru Gospodarczego (EOG tworzą państwa Unii Europejskiej oraz Islandia, Liechtenstein i Norwegia).

Ustalenie czy i gdzie dane osobowe są przekazywane może nie być jednak takie proste w konkretnym przypadku.

Po pierwsze, samo przekazanie (transfer) danych do państw trzecich nie zostało w RODO zdefiniowane. Językowe rozumienie tego słowa wskazywałoby, że przekazanie / transfer oznacza sytuację, w której dane osobowe są przemieszczane z jednego miejsca do drugiego. Z przekazywaniem (transferem) danych w świetle przepisów RODO będziemy mieli do czynienia, gdy dane osobowe faktycznie przekraczają granice państw. […] Dla oceny, czy mamy do czynienia z przekazaniem danych osobowych do państwa trzeciego, nie powinna mieć znaczenia okoliczność faktycznego zapoznania się z danymi na obszarze państwa trzeciego. Wystarczające będzie zamieszczenie danych osobowych np. na serwerze zlokalizowanym w państwie trzecim; taka sytuacja umożliwia bowiem uzyskanie dostępu do danych z państwa trzeciego [1]. Samo przekazanie może natomiast przybrać postać przesłania danych przez sieć informatyczną lub ich pobrania z określonej lokalizacji. Mimo, że rozumienie pojęcia „przekazania” / „transferu” danych do państw trzecich może zatem wydawać się stosunkowo proste, ze względu na rozwój technologii (w tym różnego rodzaju usług IT, technologii automatycznego przetwarzania danych lub szyfrowania) czy też coraz szersze zastosowanie rozwiązań zdalnych, wcale nie jest to takie oczywiste. Przykładowo, czy z transferem danych możemy mieć także do czynienia w sytuacji samego „podglądu” danych znajdujących się w innych lokalizacjach, poprzez zdalne kanały połączenia? Czy akcydentalne przypadki dostępu do danych z państwa trzeciego lub czasowe utrwalanie, np. na potrzeby testów, to już „transfer” w rozumieniu RODO? Zasadniczo tak – istnieje bowiem ryzyko (prawdopodobieństwo), że takie przypadki „graniczne” zostaną uznane już za „transfer”, z uwagi na samą możliwość dostępu i ingerencji w udostępniane dane osobowe. Każdorazowo jednak tego rodzaju sytuacje powinny zostać ocenione indywidualnie, biorąc pod uwagę faktyczny / techniczny kontekst danej operacji. Warto także wskazać, że  znaczenie terminu „transfer danych” może ulegać zmianie wraz z postępującym rozwojem, w szczególności technologicznym[2].

Po drugie, samo ustalenie „gdzie” dane są zlokalizowane również może nie być takie proste. Wymaga to przede wszystkim precyzyjnego ustalenia „łańcucha” podmiotów biorących udział w przepływie danych osobowych. W tym zakresie powinny zostać uwzględnione zarówno spółki z grupy kapitałowej, jak i dostawcy działający na zlecenie poszczególnych spółek. W praktyce często pomijana jest jednak analiza gdzie dokładnie dostawcy (i ich ewentualni podwykonawcy) lub nawet spółki „stowarzyszone” przetwarzają dane. W szczególności, w przypadku rozwiązań chmurowych / IT może się okazać, że nawet w sposób nieświadomy przekazujemy dane do podmiotów, które mają siedziby lub korzystają z serwerów / centrów supportowych w państwach trzecich. Konieczna jest zatem pogłębiona analiza struktury przepływów danych oraz lokalizacji rozwiązań stosowanych prze dostawców i ich ewentualnych podwykonawców, w tym oczywiście także wiedza jakie narzędzia / rozwiązania stosowane są przez poszczególne spółki lub jej pracowników.

Podstawa legalnego transferu

Kolejnym krokiem jest wybór odpowiedniego mechanizmu transferu danych do państwa trzeciego.

Schemat wyboru odpowiedniego mechanizmu transferu danych do państwa trzeciego powinien przebiegać następująco:

ustalenie czy Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony w państwie trzecim

Stwierdzenie, że taka decyzja została wydana oznacza możliwość legalnego transferu danych do państwa trzeciego, bez konieczności zapewnienia innych zabezpieczeń, o których mowa poniżej. Krajami, w odniesieniu do których w chwili obecnej obowiązuje decyzja KE stwierdzająca odpowiedni stopień ochrony w państwie trzecim są, przykładowo, Szwajcaria, Japonia, Izrael, Nowa Zelandia.

w przypadku braku wydania decyzji w sprawie adekwatności ochrony konieczne jest zastosowanie innego mechanizmu transferu danych do państwa trzeciego; mechanizm taki nie jest dowolny, ponieważ w tym zakresie RODO przewiduje zamknięty katalog tzw. „odpowiednich zabezpieczeń”, które mogą zostać zastosowane jako podstawa legalizująca transfer danych osobowych do państwa trzeciego. Do odpowiednich zabezpieczeń należą:

• wiążące reguły korporacyjne(binding corporated rules, BCRy); są to wewnątrzkorporacyjne globalne polityki ochrony danych osobowych ustalone i wdrożone w ramach konkretnej, działającej międzynarodowo grupy kapitałowej. Minimalny katalog postanowień, jakie powinny znaleźć się w wiążących regułach korporacyjnych przewiduje art. 47 ust. 2 RODO. Aby wiążące reguły korporacyjne mogły stanowić „odpowiednie zabezpieczenie” w rozumieniu przepisów RODO wymagają zatwierdzenia przez krajowy lub wiodący organ nadzorczy oraz Europejską Radę Ochrony Danych, zgodnie z mechanizmem spójności przewidzianym w RODO. Cały proces akceptacji wiążących reguł korporacyjnych jest dość czasochłonny (może trwać nawet ok. 1 roku)[3];
• umowy transferowe zawarte w oparciu o tzw. standardowe klauzule ochrony danych przyjęte przez Komisję Europejską lub przez organ nadzorczy i zatwierdzone przez KE (standard contractual clauses, SCC). Standardowe klauzule umowne powinny zostać wprowadzone do umowy z odbiorcą danych; stosując standardowe klauzule umowne należy zwrócić uwagę, że osobno zatwierdzone zostały standardowe klauzule ochrony danych dla przepływów danych między dwoma administratorami danych (controller to controller) oraz dla przepływów danych między administratorem danych a podmiotem przetwarzającym (controller to processor);
• zatwierdzone kodeksy postępowania  (np. kodeks opracowany przez organizację reprezentującą przedsiębiorców); kodeks taki może być uznany za „odpowiednie zabezpieczenie”, o ile został zatwierdzony przez organ nadzoru;
• zatwierdzone mechanizmy certyfikacji; mechanizm ten polega na uzyskaniu przez odbiorcę danych w państwie trzecim certyfikacji, mającej świadczyć o zgodności operacji przetwarzania z przepisami RODO; w praktyce jednak mechanizm ten jest stosowany niezwykle rzadko;
• klauzule umowne między podmiotem przekazującym dane a odbiorcą danych w państwie trzecim; mechanizm ten polega na uwzględnieniu w umowie z odbiorcą odpowiednich klauzul umownych zapewniających bezpieczeństwo danych osobowych oraz skuteczną realizację praw podmiotów danych; wykorzystanie tego mechanizmu wymaga dodatkowego zezwolenia właściwego organu nadzoru.

W działalności grup kapitałowych w praktyce optymalne jest stosowanie co najmniej jednego z dwóch pierwszych wyżej wymienionych mechanizmów transferu danych do państwa trzeciego, tj. wiążących reguł korporacyjnych lub standardowych klauzul umownych zatwierdzonych przez Komisję Europejską. Z uwagi na to, że proces zatwierdzania wiążących reguł korporacyjnych jest w praktyce bardziej czasochłonny, zastosowanie standardowych klauzul umownych zatwierdzonych przez KE (które stanowią zasadniczo „gotowy” do zastosowania zestaw klauzul) będzie niekiedy jedynym dostępnym „odpowiednim mechanizmem” w przypadku braku decyzji stwierdzającej adekwatny poziom ochrony danych w państwie trzecim. Pozostałe wymienione formy „odpowiednich zabezpieczeń” nie mają w chwili obecnej realnego, praktycznego zastosowania.

Należy podkreślić jednocześnie, że zastosowanie jednego z powyższych „odpowiednich zabezpieczeń” nie jest samodzielną przesłanką legalnego transferu danych do państw trzecich, o czym „przypomniał” Trybunał Sprawiedliwości (UE) w wyroku w sprawie Schrems II (C-311/18). RODO wymaga bowiem aby w kraju, do którego następuje transfer w oparciu o co najmniej jedno z ww. zabezpieczeń, obowiązywały egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej. Jest to warunkiem koniecznym dla zapewnienia legalnego transferu danych w oparciu o omawiane mechanizmy. Zgodnie z art. 46 ust. 1 RODO „w razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewniają odpowiednie zabezpieczenia [przyp. od autorów – opisane powyżej] i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne ośrodki ochrony prawnej.”. Te dwa warunki powinny więc zostać spełnione łącznie. Pokrótce wpływ ww. wyroku Schrems II na transfer danych do państw trzecich w kontekście działalności grup kapitałowych omawiamy w dalszej części artykułu.

wyjątki od zakazu transferu

RODO dopuszcza również przekazywanie danych do państwa trzeciego, w stosunku do którego nie stwierdzono odpowiedniego poziomu ochrony lub w którym brak odpowiednich zabezpieczeń, takich jak wspomniane powyżej standardowe klauzule umowne czy wiążące reguły korporacyjne. Jest to jednak możliwe tylko w szczególnych sytuacjach, o których mowa w art. 49 RODO, na zasadzie wyjątku. Przepis ten przewiduje, że taki transfer danych jest dopuszczalny o ile:

• osoba, której dane osobowe mają zostać przekazane do państwa trzeciego, wyrazi na to zgodę; istotne jest jednak w tym przypadku uprzednie poinformowanie takiej osoby o ewentualnym ryzyku, z jakim może się dla niej wiązać proponowane przekazanie – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony i na brak odpowiednich zabezpieczeń – oraz uzyskanie od niej zgody; przy tym, zgoda taka musi być: wyraźna, dotyczyć konkretnego jednorazowego lub wielokrotnego przekazania danych oraz świadoma, tj. osoba udzielająca zgody musi zdawać sobie sprawę z ewentualnego ryzyka, z jakim może się wiązać przekazanie;
• przekazanie jest niezbędne do realizacji umowy zawartej między administratorem a osobą, której dane dotyczą lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
• przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
• przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
• przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
• przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
• przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego[4].

Biorąc pod uwagę wąski zakres powyższych sytuacji oraz ich szczególny charakter, jak również ogólną zasadę wykładni prawa, zgodnie z którą wyjątki od reguły powinny być interpretowane ściśle, można dojść do wniosku, że art. 49 RODO będzie stanowił adekwatną podstawę legalizującą transfer danych do państw trzecich jedynie w nielicznych przypadkach, tj. w odniesieniu do jednostkowych transferów danych, nie wpisujących się w codzienną działalność operacyjną podmiotów biznesowych, w tym w działalność spółek wchodzących w skład grupy kapitałowej. Powyższe można zobrazować na przykładzie procesu rekrutacji do spółek w grupie, w praktyce bardzo często realizowanego z udziałem podmiotów z państw trzecich – jeżeli spółka wchodząca w skład grupy kapitałowej chciałaby realizować proces rekrutacji z przekazaniem danych do państwa trzeciego (np. w celu akceptacji lub weryfikacji kandydatów przez zarząd spółki-matki mający siedzibę na terytorium państwa trzeciego, czy tworzenie centralnej bazy kandydatów do pracy), brak zgody kandydata na taki transfer uniemożliwiałby dalsze etapy tego postępowania (nie można byłoby „przymuszać” kandydata do wyrażenia takiej zgody), a jednocześnie trudno byłoby znaleźć inną podstawę – sytuację szczególną z art. 49 RODO, która legalizowałaby takie działanie – chyba, że spółka z grupy zapewniłaby alternatywną „ścieżkę” procesu rekrutacji, która nie zakładałaby transferu danych do państw trzecich. Stworzenie jednak „dwóch” procesów rekrutacyjnych z punktu widzenia lokalizacji i przepływu danych mogłoby być istotnym operacyjnym utrudnieniem dla przedsiębiorców, wiążącym się z dodatkowymi kosztami po ich stronie. Rozważając więc wybór rozwiązania uniwersalnego i pewnego dla działań grupy kapitałowej, należy stwierdzić, że mechanizmy transferu danych do państw trzecich, o których mowa w ww. wyjątkach nie są optymalne w przypadku transferów wpisanych w normalną, codzienną działalność grupy.

Transfer danych po Schrems II

Analizując kwestię transferu danych do państw trzecich nie sposób nie wspomnieć o niedawno wydanym i głośnym orzeczeniu Trybunału Sprawiedliwości (UE) z dnia 16 lipca 2020 r., w sprawie Schrems II (C-311/18), w którym Trybunał uznał, że tzw. Tarcza Prywatności (Privacy Shield) funkcjonująca w oparciu o decyzję Komisji Europejskiej, wykorzystywana dotychczas powszechnie jako podstawa transferu danych do USA, jest nieważna. W związku z tym, we wszystkich przypadkach, gdzie mechanizm ten był wykorzystywany jako podstawa transferu danych osobowych do USA, należy zweryfikować dalszą możliwość legalnego transferu danych do USA w oparciu o inne podstawy.

Co istotne, Trybunał Sprawiedliwości (UE) nie unieważnił standardowych klauzul umownych, lecz wskazał, że chcąc powoływać się na ten mechanizm, konieczne jest badanie poziomu ochrony danych i prawodawstwa państwa, do którego przenoszone są dane. Konsekwencje tego zastrzeżenia są jednak bardzo istotne, ponieważ w związku z tym, niedopuszczalne jest „automatyczne” stosowanie standardowych klauzul umownych, bez oceny ryzyka przekazania danych przy uwzględnieniu prawodawstwa państwa docelowego. Należy zawsze badać kontekst przepływu danych i poziom ochrony danych osobowych i prywatności w państwie docelowym. Analogiczne wnioski należy odnieść także do mechanizmu wiążących reguł korporacyjnych, co potwierdza aktualne stanowisko Europejskiej Rady Ochrony Danych Osobowych[5]. Jednocześnie niestety do chwili obecnej brak jest choćby ogólnych wytycznych w jaki sposób eksporterzy danych mieliby oceniać prawodawstwo państwa docelowego  (tj. egzekwowalność praw osób, których dane dotyczą w tym państwie i skuteczność środków ochrony prawnej), jak również brak jest odpowiedzi na pytanie w jaki sposób ewentualne stwierdzenie braku obowiązywania egzekwowalności ww. praw miałoby zostać „przełamane” poprzez zastosowanie odpowiednich zabezpieczeń, takich jak SCC czy BCR-y (nawet po ewentualnych zmianach ich treści), które przecież nie wiążą organów państwowych, a jedynie prywatne podmioty, które zobowiązały się do ich stosowania. Być może wątpliwości te  zostaną rozstrzygnięte w najbliższym czasie przez Europejską Radę Ochrony Danych Osobowych (EROD), co zmniejszyłoby niepewność prawną (i wynikające z tego ryzyka biznesowe dla przedsiębiorstw), która powstała po wydaniu ww. wyroku.

W praktyce, wyrok w sprawie Schrems II ma bardzo istotne znaczenie zwłaszcza dla branży IT i jej klientów, w której Tarcza Prywatności była mechanizmem „domyślnym”, stosowanym na porządku dziennym, także przez znaczące firmy IT, w tym przez czołowych dostawców rozwiązań chmurowych.

Nie dysponując na dzień dzisiejszy szczegółowymi wytyczanymi dot. zapewnienia zgodności z ww. wyrokiem, co więc można zrobić, w przypadku gdy dotychczas transfer danych osobowych do USA, zgodnie z przyjętym w danej spółce (grupie kapitałowej) modelem, był oparty na Tarczy Prywatności? Przede wszystkim zalecane jest co najmniej:

• zidentyfikowanie struktury przepływu danych UE – USA, w tym w szczególności zweryfikowanie jakie dane, w jakich celach i na jakiej podstawie prawnej są przekazywane do USA
• zidentyfikowanie zabezpieczeń technicznych stosowanych w ramach transferu danych (np. szyfrowanie)
• przeanalizowanie możliwości zastosowania mechanizmu standardowych klauzul umownych KE
• ocena wpływu ww. wyroku także na inne mechanizmy transferu, np. wiążące reguły korporacyjne
• ocena ryzyka transferu w oparciu o ww. podstawy
• rozważenie możliwości, kosztów, skutków dla przedsiębiorstwa ew. zmiany lokalizacji danych
• w razie potrzeby, zweryfikowanie i zmodyfikowanie dokumentacji takiej jak: zawarte umowy powierzenia przetwarzania danych osobowych, stosowane wzory umów / regulaminów, dokumentacja wewnętrzna spółki, klauzule informacje, polityki prywatności,

a przede wszystkim konieczne jest monitorowanie informacji dot. stanowisk odpowiednich organów nadzoru oraz EROD w związku z ww. wyrokiem.

Transfer a Brexit

W kontekście transferu danych do państw trzecich warto również zasygnalizować sytuację związaną z wyjściem Wielkiej Brytanii z Unii Europejskiej (Brexit). Obecnie, do końca bieżącego roku, trwa jeszcze okres przejściowy, w trakcie którego zasady przetwarzania danych osobowych w Wielkiej Brytanii nie ulegają zmianie – RODO ma pełne zastosowanie. Od 1 stycznia 2021 r. możliwe są jednak różne scenariusze „podejścia” do Wielkiej Brytanii, a jednym z nich jest potraktowanie tego kraju jako tzw. państwa trzeciego. Wówczas, do czasu ewentualnego wydania przez Komisję Europejską decyzji stwierdzającej odpowiedni poziom ochrony, transfer danych do Wielkiej Brytanii poddany będzie wszystkim „obostrzeniom” i wymogom szczególnym, które zostały opisane powyżej w artykule. Tam gdzie transfer danych do Wielkiej Brytanii opiera się na BCR-ach konieczna może okazać się ich aktualizacja. Temat ten, w szczególności w przypadku grup kapitałowych, które przekazują dane osobowe do Wielkiej Brytanii, wymaga zatem monitorowania i reagowania na stanowiska odpowiednich organów, w tym EROD.

Podsumowanie

Przy planowaniu oraz projektowaniu procesu transferu danych osobowych do państw trzecich należy zwrócić szczególną uwagę na poniższe kwestie:

Do tak ustalonego modelu transferu danych osobowych należy następnie „dobrać” adekwatną podstawę legalizującą ww. transfer do państw trzecich. Dostępne, rekomendowane mechanizmy to decyzja Komisji Europejskiej, BCRy oraz standardowe klauzule umowne (pozostałe wyżej opisane mechanizmy, w tym wyjątki z art. 49 RODO, co do zasady nie będą odpowiednią podstawą w przypadku stałych i planowanych procesów transferu danych). Jednocześnie, projektując transfer danych do USA należy pamiętać o konsekwencjach płynących z wyroku w sprawie Schrems II, w szczególności w zakresie przeprowadzania oceny ryzyka ochrony danych. Należy również zwrócić szczególną uwagę na przepływy danych do Wielkiej Brytanii.

Dodatkowo, w przypadku transferu danych w grupach kapitałowych nie można pominąć kwestii skutecznej i prawidłowej realizacji obowiązku informacyjnego względem podmiotów danych, jak również, w ujęciu generalnym, podejmowania działań względem podmiotów danych w sposób transparenty i rzetelny. Dobrą praktyką w tym zakresie jest tworzenie wspólnych dokumentów polityki prywatności, opisujących wyraźnie podejście do ochrony danych osobowych i sposoby takiej ochrony przez spółki wchodzące w skład grupy kapitałowej.

[1] Szerzej na temat pojęcia przekazywanie danych por. B. Fischer, D. Karwala, Transfer danych osobowych do państw trzecich (Wybrane zagadnienia), PiP 2007/1, s. 100 i n.

[2] D. Karwala, Komercyjne transfery danych osobowych do państw trzecich, Wolters Kluwer 2018 (LEX).

[3] Więcej informacji na temat procedury zatwierdzania wiążących reguł korporacyjnych (BCR) można znaleźć na stronie Komisji Europejskiej: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en#approval-of-binding-corporate-rules.

[4] Więcej informacji na temat wyjątków z art. 49 RODO można znaleźć w wytycznych Europejskiej Rady Ochrony Danych Osobowych dostępnych na stronie https://edpb.europa.eu/our-work-tools/our-documents/smjernice/guidelines-22018-derogations-article-49-under-regulation_pl.

[5] Zob. dokument Europejskiej Rady Ochrony Danych Osobowych dostępny pod adresem https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en.

[6] Więcej na temat ustalenia roli podmiotów w grupie kapitałowej w artykułach naszych kolegów r. pr. Damiana Łapki https://lnkd.in/ePP9Wzu oraz r.pr. Bartosza Jussaka https://lnkd.in/evCT3gy, opublikowanych w ramach projektu #ForumBK – RODO w grupach kapitałowych.

***

Abstract

Article published as part of the #ForumBK project – GDPR in capital groups.

Business activities of capital groups often require transfers of data to the so-called third countries. For such transfers, the provisions of the GDPR provide for additional, specific requirements that must be met. The process of data transfer to third countries within the capital group optimally should begin with determining whether and where such a transfer takes place. Transfer means a situation in which personal data is transferred from one place to another. Due to the development of new technologies and various cloud services, even the mere view of data from a third country may constitute a data transfer. In consequence, the assessment of whether data is being transferred requires additional in-depth analysis related to the technologies and services used. It is also necessary to analyze the structure of data flows (especially in the „cloud”) and the location of solutions used by suppliers and their possible subcontractors. The next step is to choose an appropriate, formal „mechanism” provided for in the GDPR for the transfer of data to a third country. The GDPR prohibits the transfer of data, unless additional (other than provided for data processing) conditions are met. However, transfer to third countries does not require the fulfillment of additional conditions if it takes place to third countries for which the European Commission issued an adequacy decision. If such a country-specific decision has not been issued, one should rather rely on „appropriate safeguards” such as Standard Contractual Clauses (SCC) or Binding Corporate Rules (BCR). Moreover, in the absence of an adequacy decision or of appropriate safeguard the GDPR provides for specific exceptions in Art. 49. Those exceptions (such as consent) can be used exceptionally and rather not for systematic daily transfers. Data transfer to the US after the Schrems II judgment requires additional analysis of the applicability of SCC or BCR, as this judgment invalidated the Privacy Shield decision. When making data transfers, it is also necessary to pay attention to the current special status of Great Britain and the need to fulfill other obligations under the GDPR (including the information obligation).