Ochrona danych osobowych a Brexit

31 stycznia 2020 r. Wielka Brytania oficjalnie opuściła Unię Europejską. Wraz z wyjściem z Unii Brytyjczycy znaleźli się poza Europejskim Okręgiem Gospodarczym (EOG),  do którego przystąpili nie jako państwo, lecz jako członek UE. Wśród wielu pytań dotyczących przyszłości relacji Zjednoczonego Królestwa z Unią, nie sposób pominąć kwestii dotyczących ochrony danych osobowych. Co dalej z ochroną danych na Wyspach? Czy Wielka Brytania stała się „państwem trzecim”? Czy w przypadku transferu danych poza Europę kontynentalną powinno się stosować przepisy rozdziału V. RODO?

 

Okres przejściowy

Status Wielkiej Brytanii w ramach nowego kształtu Europy dopiero się formuje. Zgodnie z Umową zawartą pomiędzy Zjednoczonym Królestwem a UE (The Withdrawal Agreement) do końca grudnia 2020 roku trwać będzie „okres przejściowy”, podczas którego negocjowane będą dalsze relacje obu stron. Do tego czasu Wielka Brytania podlegać będzie prawu unijnemu – w tym przepisom RODO, jak dotychczas i w świetle Rozporządzenia będzie traktowana jak państwo członkowskie.  W związku z powyższym, na ten moment nie ma konieczności dokonywania żadnych zmian, jeśli administrator z Unii przekazuje dane do podmiotów znajdujących się na Wyspach; jednak w najbliższych miesiącach należy bacznie przyglądać się trwającym negocjacjom.

 

Co po okresie przejściowym?

Ciężko przewidzieć jaki będzie efekt nadchodzących negocjacji, jednak w przypadku ich niepowodzenia można spodziewać się sporych utrudnień w przepływie danych. Po okresie przejściowym przepisy prawa unijnego przestaną obowiązywać w Zjednoczonym Królestwie. Jako Państwo nienależące do EOG, traktowane będzie ono jako państwo trzecie – podobnie jak Szwajcaria, z tym wyjątkiem, że w stosunku do Wielkiej Brytanii  Komisja Europejska nie podjęła jeszcze decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO), tak więc w przypadku transferu danych konieczne może okazać się stosowanie standardowych klauzul umownych, o których mowa w art. 46 RODO.  Oznacza to konieczność aneksowania wszelkich umów zawieranych z brytyjskimi kontrahentami, w ramach których przetwarzane są dane osobowe. W niektórych przypadkach konieczna może się okazać zmiana klauzul informacyjnych poprzez poinformowanie podmiotów o transferze danych do państwa trzeciego (art. 13 ust. 1 lit. f, oraz art. 14 ust. 1 lit. f RODO)  oraz ponowne oszacowanie ryzyka dla naruszenia praw i wolności podmiotów danych związana z transferem danych do państw trzecich.

Co do przekazywania danych z Wielkiej Brytanii do EOG można spodziewać się, że obowiązująca w Zjednoczonym Królestwie ustawa doprecyzowująca przepisy RODO (The Data Protection Act  z 2018 roku) zostanie rozszerzona, w taki sposób aby jej kształt odpowiadał przepisom unijnego Rozporządzenia. Brytyjski ustawodawca zapowiada, że nie będzie nakładał dodatkowych restrykcji w przypadku transferu danych do państw Europy kontynentalnej, jednak przedsiębiorcy przetwarzający dane obywateli na terenie UE mogą być zobligowani do powołania swojego Przedstawiciela w UE zgodnie z art. 27 RODO, a to wiąże się z dodatkowymi kosztami[1].

 

Co dalej?

Dzisiaj trudno przewidzieć, jakie będą rezultaty negocjacji prowadzonych pomiędzy Wielką Brytanią a Unią Europejską. Do końca okresu przejściowego pozostało relatywnie niewiele czasu, a dotychczasowe dyskusje Londynu z Brukselą nie napawają optymizmem. W najbliższych miesiącach warto przyglądać się toczącym się rozmowom, ponieważ od ich przebiegu zależą obowiązki administratorów i podmiotów przetwarzających przekazujących dane do Zjednoczonego Królestwa. Wydaje się niemal pewne, że prędzej czy później Komisja Europejska przyzna w drodze decyzji, że Wielka Brytania zapewnia odpowiednie zabezpieczenia w zakresie przetwarzania danych osobowych – w końcu ma ona olbrzymie zasługi w rozwoju tej dziedziny prawa, a brytyjski organ nadzorczy – ICO  jest jednym z najbardziej cenionych w Europie. Trudno jednak stwierdzić kiedy taka decyzja zapadnie i transfer danych na Wyspy zostanie unormowany.

 

 

 

 

 

[1]Information rights and Brexit Frequently Asked Questions, Information’s Commissioner Office,  https://ico.org.uk/media/for-organisations/documents/brexit/2617110/information-rights-and-brexit-faqs-v2_3.pdf dostęp: 02.02.2020.

Autor

Paweł Sobel

Doświadczenie zdobywał pracując w uznanych krakowskich kancelariach specjalizujących się w zagadnieniach dotyczących ochrony danych osobowych, prawa własności intelektualnej, prawie medycznym oraz prawie pracy. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.

Z tej samej kategorii

Kategorie