Brexit – zbliża się koniec okresu przejściowego. Co dalej z transferem danych do UK?

Tymczasem w świetle ostatnich uregulowań w tym zakresie w odniesieniu do państw trzecich (w ostatnich tygodniach zwłaszcza w kontekście ich transferu do USA), szczególnie istotnym polem jest tu określenie zasad przyszłego przepływu danych pomiędzy Zjednoczonym Królestwem a Unią Europejską.

 

OKRES PRZEJŚCIOWY DO KOŃCA 2020 ROKU

Do końca bieżącego roku obowiązuje okres przejściowy, w czasie którego wspólnotowe regulacje dotyczące ochrony danych osobowych (w szczególności unijne Ogólne Rozporządzenie O Ochronie Danych – RODO) mają pełne zastosowanie na terenie Wielkiej Brytanii.

Tym samym, status Zjednoczonego Królestwa w okresie przejściowym jako państwa członkowskiego Unii Europejskiej, pozwala na swobodny transfer danych na dotychczasowych zasadach.

 

CO Z DANYMI PO OKRESIE PRZEJŚCIOWYM? MOŻLIWE RÓŻNE MODELE

Na temat niewiadomej obecnie relacji UE i Wielkiej Brytanii wypowiedział się brytyjski organ nadzorczy, tj. The Information Commissioner’s Office (ICO).

ICO potwierdził brak ustalonego scenariusza działania w tym zakresie po zakończeniu okresu przejściowego. Jednocześnie rekomenduje sięganie przez administratorów danych i podmioty przetwarzające do opracowywanych przez siebie na bieżąco poradników i materiałów dotyczących zmian zasad przetwarzania danych osobowych spowodowanych Brexitem. Źródła takie znaleźć można na stronach internetowych ICO, a także polskiego Ministerstwa Rozwoju[1].

Jednym z przewidywanych scenariuszy jest wdrożenie w życie tzw. brytyjskiego RODO oraz uregulowanie zasad wymiany danych osobowych między Wielką Brytanią a Wspólnotą Europejską w drodze stosownej umowy międzynarodowej. W tym zakresie warto zaznaczyć, że obecnie w Zjednoczonym Królestwie obowiązuje Ustawa o ochronie danych 2018 (DPA 2018), która uzupełnia i dostosowuje przepisy Ogólnego Rozporządzenia o Ochronie Danych na terenie Wielkiej Brytanii. Ustawa ta w przyszłości ma być jeszcze bardziej zbliżona do regulacji RODO i doprowadzić do zagwarantowania tak wysokiego stopnia ochrony danych, który umożliwi ich przepływ z państw członkowskich UE.

Innym możliwym rozwiązaniem jest uzyskanie przez Wielką Brytanię statusu państwa trzecie w rozumieniu RODO. Oznaczałoby to, że transfer danych osobowych z państw członkowskich do Zjednoczonego Królestwa byłby możliwy każdorazowo tylko w oparciu o mechanizmy przewidziane w RODO, a więc, m. in. na podstawie:

  • decyzji Komisji Europejskiej, która potwierdzałaby, że Wielka Brytania zapewnia odpowiedni – analogiczny jak państwa Wspólnoty – poziom ochrony danych osobowych;
  • przyjętych przez KE standardowych klauzul umownych;
  • wiążących reguł korporacyjnych;
  • zatwierdzonego kodeksu postępowania lub
  • zatwierdzonego mechanizmu certyfikacji.

Drugie z ww. rozwiązań wiązałoby się koniecznością istotnych zmian w wewnętrznych politykach określających zasady przetwarzania danych u poszczególnych administratorów na terenie UE. Aktualizacji wymagałyby przede wszystkim umowy powierzenia przetwarzania danych, rejestry przetwarzania oraz klauzule informacyjne – w zakresie, w jakim odnoszą się do przekazywania danych Wielkiej Brytanii.

 

Ostateczne warunki współpracy handlowej i gospodarczej od 1 stycznia 2021 r. – w tym również transferu danych osobowych – zależeć będą od treści przyszłej umowy o wolnym handlu między Wielką Brytanią i Unią Europejską. Do jej zawarcia miało dojść 15 października, w trakcie posiedzenia Rady Europejskiej, jednak do ostatecznych uzgodnień nie doszło. Dalszy plan działań obydwu stron będzie więc nadal przedmiotem negocjacji.