Transfer danych osobowych do Wielkiej Brytanii od 1 stycznia 2021 roku

  

Tegoroczny Sylwester to jednocześnie ostatni dzień okresu przejściowego po wyjściu Wielkiej Brytanii z Unii Europejskiej. Z wybiciem północy przeciągająca się saga związana z Brexitem, który jest pierwszym przypadkiem opuszczenia Unii Europejskiej przez państwo członkowskie, oficjalnie się zakończy.

Do ostatniej chwili nie było wiadomo, czy będziemy mieć do czynienia z tzw. twardym Brexitem, tj. wyjściem Wielkiej Brytanii z Unii bez umowy, która regulowałaby wzajemne stosunki między nimi w nowej rzeczywistości. Wiele osób taki scenariusz uznawało za najbardziej prawdopodobny. Jednakże wczoraj przedstawiciele Unii Europejskiej oraz premier Wielkiej Brytanii złożyli swoje podpisy pod nową umową o handlu i współpracy (dalej: „Umowa”).

Ten obszerny dokument, będący wynikiem wielomiesięcznych i trudnych negocjacji, które obejmowały wiele obszarów regulacji, zawiera także interesujące nas postanowienia dotyczące transferu danych osobowych do Wielkiej Brytanii po zakończeniu okresu przejściowego.

W dzisiejszym wpisie zwięźle opisuję przyjęte w Umowie rozwiązania i co one oznaczają w praktyce dla administratorów danych z Unii Europejskiej, którzy chcą w dalszym ciągu przekazywać dane osobowe do Wielkiej Brytanii po Nowym Roku.

Wielka Brytania to nie państwo trzecie

Podstawowe założenie, jakie wynika z Umowy w kontekście transferu danych osobowych do Wielkiej Brytanii polega na tym, że taki transfer nie będzie uznawany za międzynarodowy transfer danych osobowych do państwa trzeciego w rozumieniu RODO, tj. kraju spoza Europejskiego Obszaru Gospodarczego.

Ma to istotne znaczenie praktyczne. Aby transfer danych osobowych do państwa trzeciego był zgodny z RODO, wymaga spełnienia dodatkowych warunków. Może się on odbywać na podstawie decyzji Komisji Europejskiej stwierdzającej adekwatny stopień ochrony danych osobowych w danym państwie trzecim. W razie braku takiej decyzji, transfer jest możliwy z zachowaniem dodatkowych zabezpieczeń wskazanych z RODO.

Wdrożenie dodatkowych zabezpieczeń zwykle wymaga podjęcia dodatkowych czynności i uzgodnień pomiędzy zainteresowanymi stronami.

Zgodnie z Umową, transfer danych osobowych do Wielkiej Brytanii nie będzie jednak uznawany za transfer do państwa trzeciego w rozumieniu RODO do zakończenia specjalnego okresu (ang. specified period), który możemy nazwać także nowym okresem przejściowym.

W konsekwencji administratorzy danych przekazujący dane osobowego do odbiorców w Wielkiej Brytanii (zarówno niezależnych administratorów, jak i procesorów), nie będą zobligowani do stosowania dodatkowych zabezpieczeń. Ale obejmuje to na razie tylko okres przejściowy, z zastrzeżeniem przestrzegania przez Wielką Brytanię ustaleń zawartych w Umowie. Nieco upraszczając, sprowadzają się one zakazu wprowadzania istotnych zmian do brytyjskiego systemu ochrony danych osobowych, w szczególności bez uzgodnienia z Unią.

Jak długo będzie trwać nowy okres przejściowy?

Zgodnie z Umową, okres przejściowy rozpoczyna się w dniu wejście Umowy w życie, a zakończy się:

  1. w dacie, w której Komisja Europejska wyda w stosunku do Wielkiej Brytanii decyzję stwierdzającą adekwatny stopień ochrony danych osobowych, albo
  2. po upływie okresu 4 miesięcy od rozpoczęcia okresu przejściowego, który to okres zostanie przedłużony o kolejne dwa miesiące, chyba że jedna ze stron się temu sprzeciwi.

Można zatem powiedzieć, że na mocy Umowy strony dały sobie kolejne pół roku na uregulowanie kwestii transferu danych osobowych z UE do Wielkiej Brytanii. Przy czym inicjatywa będzie leżeć w głównej mierze po stronie Unii, ponieważ wydanie decyzji o adekwatności należy do kompetencji Komisji Europejskiej.

Jeżeli Komisja wyda decyzję stwierdzającą adekwatny poziom ochrony danych osobowych w Wielkiej Brytanii w przewidzianym terminie, to administratorzy danych z Unii Europejskiej nie będą musieli stosować dodatkowych zabezpieczeń towarzyszących transferowi danych do Wielkiej Brytanii także po zakończeniu nowego okresu przejściowego.

Na ten moment należy się raczej spodziewać, że taka decyzja zostanie wydana, chyba że pod Nowym Roku Wielka Brytania nie będzie przestrzegać ustaleń z Umowy albo do głosu dojdą względy natury politycznej.

Status prawny Umowy

Umowa podlegać będzie jeszcze ratyfikacji przez parlamenty brytyjski i europejski.

Dopiero po formalnej ratyfikacji stanie się pełnoprawną umowę międzynarodową. Niemniej z uwagi na podpisanie Umowy rzutem na taśmę strony ustaliły, że będzie ona tymczasowo stosowana od 1 stycznia 2021 r.

To oznacza, że w czasie obowiązywania nowego okresu przejściowego w obszarze danych osobowych status Wielkie Brytanii będzie szczególny i nieporównywalny z żadnym innym państwem spoza Europejskiego Obszaru Gospodarczego.

Takie podejście władz unijnych jest jednak zrozumiałe i uzasadnione. Do tej pory Wielka Brytania była objęta regulacjami RODO i musiała zapewniać standard ochrony danych osobowych. Co więcej, brytyjski organ nadzorczy (ICO) był znany z nakładania wysokich kar pieniężnych z tytułu naruszeń danych osobowych na firmy działające na lokalnym rynku.

Finalne uregulowanie transferu danych osobowych do Wielkiej Brytanii jeszcze przed nami. Jeżeli chcesz być na bieżąco, stay tuned i odwiedzaj stronę bloga 😊

Dodaj komentarz