Aktualności prawnicze, styczeń 2021

Brexit a dane osobowe

Pomiędzy Unią Europejską i Europejską Wspólnotą Energii Atomowej oraz Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej zawarta została Umowa o handlu i współpracy, która reguluje relacje między Stronami Umowy po zakończeniu okresu przejściowego po Brexit. Dzięki tzw. klauzuli pomostowej zawartej w postanowieniach końcowych Umowy od 1 stycznia 2021 r. swobodny przepływ danych między Europejskim Obszarem Gospodarczym a Zjednoczonym Królestwem zostanie utrzymany maksymalnie do 1 lipca 2021 r.



W dniu 31 grudnia 2020r.  zakończył się okres przejściowy w relacjach Unia Europejska – Zjednoczone Królestwo Wielkiej Brytanii. W celu uregulowania zasad przyszłej współpracy w dniu 30 grudnia 2020r. Strony podpisały Umowę o handlu i współpracy (dalej: Umowa).

Przepisy przejściowe Umowy regulują między innymi zasady przekazywania danych osobowych do Zjednoczonego Królestwa. Określają one, iż przekazywanie danych następowało będzie na dotychczasowych zasadach. Co za tym idzie transfery danych osobowych tymczasowo nie będą traktowane jako przekazywanie danych do państwa trzeciego, jakim formalnie jest już Zjednoczone Królestwo w rozumieniu RODO. Zatem na tej podstawie w tym zakresie obowiązywał będzie dodatkowy okres przejściowy. Nie będzie więc konieczne spełnienie dodatkowych wymogów określonych w rozdziale V RODO (przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych) przez przedsiębiorców lub podmioty publiczne.

Umowa przewiduje, że dodatkowy okres przejściowy zakończy się po 4 miesiącach (tj. w kwietniu 2021 roku) ale zostanie on automatycznie przedłużony o kolejne dwa miesiące (tj. do czerwca 2021 roku), chyba że jedna ze stron Umowy się temu sprzeciwi albo gdy Komisja Europejska wyda decyzje wykonawcze w sprawie odpowiedniego poziomu ochrony danych w odniesieniu do Zjednoczonego Królestwa.

Z uwagi na treść art. FINPROV 10A Umowy uznać należy, iż Komisja Europejska powinna  wkrótce rozpocząć formalną procedurę oceny brytyjskiego prawa ochrony danych osobowych i praktyki jego stosowania w świetle orzecznictwa Trybunału Sprawiedliwości UE w celu wydania decyzji o możliwości bezpiecznego przekazywania danych do Zjednoczonego Królestwa bez konieczności spełnienia dodatkowych warunków.

W przypadku gdy Komisja Europejska nie wyda we wskazanym czasie decyzji w sprawie odpowiedniego poziomu ochrony, to po upływie określonego w Umowie okresu wymagane będzie stosowanie zabezpieczeń określonych w art. 46 RODO (np. standardowe klauzule umowne).

Komentarz DBS:

Podsumowując powyższe wskazać należy, iż Unia Europejska dąży do uregulowania kwestii przesyłu danych osobowych do Zjednoczonego Królestwa jako państwa trzeciego, w najmniej uciążliwy sposób tj. bez konieczności spełnienia dodatkowych warunków. Zjednoczone Królestwo do chwili Brexit’u, jako członek Unii Europejskiej, wdrażało przepisy prawa europejskiego do swojego porządku prawnego, dlatego też regulacje prawne dotyczące zasad przetwarzania danych osobowych prawdopodobnie są w Zjednoczonym Królestwie na  poziomie zapewniającym bezpieczeństwo ich przetwarzania.

Warto zwrócić uwagę, iż na oficjalnych stronach Unii Europejskiej na bieżąco aktualizowane są kwestie dotyczące zasad współpracy ze Zjednoczonym Królestwem po Brexit[1], jak również Urząd Ochrony Danych Osobowych w Polsce monitoruje przebieg toczących się prac w tym zakresie[2].

 

Karolina Bobrowska, aplikantka radcowska

 

[1] https://eur-lex.europa.eu/content/news/Brexit-UK-withdrawal-from-the-eu.html (ostatni dostęp: 07.01.2021, g. 11:15)

https://ec.europa.eu/info/relations-united-kingdom/overview/adapting-eus-legal-framework_en (ostatni dostęp: 07.01.2021, g. 11:20)

[2] https://uodo.gov.pl/pl/138/1810  (ostatni dostęp: 07.01.2021, g. 11:00)