Transfer danych do Wielkiej Brytanii po brexicie – jest decyzja Komisji

Komisja Europejska przyjęła 28 czerwca 2021 r. dwie decyzje stwierdzające odpowiedni stopień ochrony danych osobowych. Jedną dotyczącą RODO a drugą związaną z dyrektywą 2016/680 regulującą kwestie wyłączone spod RODO, czyli przetwarzanie danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar. Na podstawie tych decyzji przekazywanie danych osobowych do Zjednoczonego Królestwa będzie możliwie bez konieczności podejmowania dodatkowych środków ochronnych zabezpieczających transfer.

Decyzja stwierdzająca odpowiedni stopień ochrony w państwie trzecim jest mechanizmem, za pomocą którego przekazywanie danych osobowych do tego kraju odbywa się bez dodatkowych zabezpieczeń[1].  Przy wydawaniu decyzji Komisja ma obowiązek zbadać praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo dotyczące danych osobowych, istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego oraz międzynarodowe zobowiązania zaciągnięte przez określone państwo trzecie w dziedzinie danych osobowych. Co interesujące, Komisja po raz pierwszy wydała decyzje stwierdzające odpowiedni stopień ochrony ograniczone czasowo – po czterech latach decyzje wygasają i będzie konieczne ich ponowne wydanie. Termin wygaśnięcia decyzji uzasadniany jest obawami, czy standard ochrony danych osobowych w Wielkiej Brytanii pozostanie na obecnym poziomie w dłuższej perspektywie czasu.

Komisja wskazała 4 kluczowe elementy swoich decyzji.

Po pierwsze, zdaniem Komisji Wielka Brytania utrzymuje system ochrony danych osobowych na tych samym zasadach, jak w czasie członkostwa w Unii Europejskiej, wdrażając zasady, prawa i obowiązki przewidziane w RODO i dyrektywie 2016/680 do swojego porządku prawnego.

Drugą istotną okolicznością podjęcia ww. decyzji było wg Komisji to, że system prawny Wielkiej Brytanii zapewnia silne środki ochronne ograniczające dostęp służb specjalnych do danych osobowych. Przykładowo, taki dostęp wymaga uprzedniej decyzji niezależnego organu sądowego, podejmowane środki muszą być konieczne i proporcjonalne do osiągnięcia celów, zapewniona jest także możliwość odwołania się od decyzji.

Po trzecie, Komisja ograniczyła obowiązywanie decyzji do czterech lat w związku z koniecznością monitorowania poziomu ochrony danych  osobowych w Wielkiej Brytanii.

Dodatkowo spod zakresu zastosowania decyzji został wyłączony transfer danych osobowych do celów związanych z kontrolą imigracji, co wynika z wyroku Sądu Apelacyjnego Anglii i Walii (England and Wales Court of Appeal).

 

Źródło:

https://ec.europa.eu/commission/presscorner/detail/pl/ip_21_3183

[1] Mechanizm przewidziany jest przez art. 45 RODO.

Autor

Michał Madecki

Certyfikowany Inspektor Ochrony Danych. Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.