1 stycznia 2021 roku Wielka Brytania formalnie opuściła Unię Europejską i jest obecnie „krajem trzecim” zgodnie z definicją RODO (tj. krajem spoza UE bez decyzji stwierdzającej odpowiedni stopień ochrony). Zapisy umowy podpisanej przez Wielką Brytanię i UE w grudniu 2020 r. ustanowiły tzw. okres przejściowy wynoszący sześć miesięcy, w którym możliwy jest nieograniczony przepływ danych na dotychczasowych warunkach. Ta przejściowa umowa o przekazywaniu danych oznacza, że – mimo iż Wielka Brytania nie jest już częścią UE, a zatem nie podlega pod przepisy obowiązujące w UE – dane osobowe mogą być przesyłane między Wielką Brytanią a UE bez ograniczeń, jak poprzednio. Należy również pamiętać, że przepisy RODO mają zastosowanie do wszystkich podmiotów z siedzibą w UE oraz tych, których klientami są obywatele Unii Europejskiej. Wynika z tego, iż wymagania te spełnić muszą również organizacje spoza UE.
Przygotowując się do Brexitu, wiele przedsiębiorstw przeniosło swoje serwery lub całe data center z Wielkiej Brytanii na teren Europy kontynentalnej, zmodyfikowało swoje procesy wewnętrzne czy wdrożyło w życie standardowe klauzule umowne, aby zapewnić odpowiedni poziom ochrony danych przy transferze danych pomiędzy UE a Wielką Brytanią. Również niedawna decyzja Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems-II wywołała dodatkowe pytania – w szczególności czy samo zawarcie standardowych klauzul umownych wystarczyłoby do zapewnienia odpowiedniego poziomu ochrony danych osobowych.
Umowa o wystąpieniu podpisana przez Wielką Brytanię i UE zawiera szczegółowe przepisy dotyczące przetwarzania danych osobowych i przepływu informacji. Artykuły 70–73 umowy stanowią, że Zjednoczone Królestwo „zapewnia poziom ochrony danych osobowych zasadniczo równoważny z poziomem przewidzianym w prawie Unii Europejskiej”. Zapewnienie równoważnego unijnego poziomu ochrony danych osobowych jest bardzo ważne dla Wielkiej Brytanii, ponieważ jest to jedyny sposób, aby Komisja Europejska (KE) wydała decyzję potwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony. Dzięki takiej decyzji przekazywanie danych nie jest obwarowane dodatkowymi wymogami – w szczególności nie wymaga zezwolenia właściwego organu nadzoru ani wdrożenia szczególnych zabezpieczeń. Artykuł 45 RODO stanowi, że „przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może mieć miejsce, jeżeli Komisja uznała, że państwo trzecie (…) zapewnia odpowiedni poziom ochrony”.
Zmiany wywołane przez Brexit wprowadzone w brytyjskim prawie dotyczącym prywatności danych są zawarte w rządowych przepisach Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019, zwanych również przepisami DPPEC. Przepisy DPPEC opracowane i wdrożone zostały głównie w dwóch celach:
- stworzenia całkowicie „nowego” prawa krajowego, określanego mianem UK-GDPR;
- aktualizacji ustawy o ochronie danych osobowych z 2018 roku – Data Protection Act 2018.
Aby dotrzymać obietnicy zawartej we wspomnianych wcześniej art. 70–73 umowy o wystąpieniu z UE, Wielka Brytania postanowiła stworzyć całkowicie „nowe” prawo krajowe. „Nowe RODO” w Wielkiej Brytanii jest zasadniczo takie samo jak RODO obowiązujące do tej pory na terenie UE. Co więcej, sam tekst dokumentu jest dosłownie sporządzony na bazie RODO, a zmiany mają jedynie na celu zastąpienie części tekstu, w których mieszczą się odwołania do unijnego zapisami prawa brytyjskiego oraz uzupełnienie zapisów o obszary, które były poza zakresem prawa unijnego: m.in. o sposoby egzekwowania prawa, kary, uprawnienia służb wywiadowczych czy imigrację.
Podstawowe postanowienia RODO, z których stało się znane na całym świecie, pozostają takie same w ramach nowego krajowego RODO w Wielkiej Brytanii, w tym:
- Zasady dotyczące przetwarzania danych osobowych i zgodności przetwarzania z prawem (Art. 5);
- Warunki wyrażenia zgody (art. 7) – z wyjątkiem wieku dziecka, które wyraziło zgodę na przetwarzanie swoich danych osobowych (art. 8), który jest obniżony do 13 lat w Wielkiej Brytanii;
- Zasady przetwarzania szczególnych kategorii danych osobowych (zwanych także danymi wrażliwymi) (Art. 9);
- Prawa osoby, której dane dotyczą (Art. 15-22).
Podsumowując – na obecnym etapie wyjścia Wielkiej Brytanii z Unii Europejskiej nie ma powodów do obaw w kontekście legalności transferu danych osobowych. Aktualnie obowiązujące regulacje prawne oraz postanowienia umowy o wystąpieniu gwarantują, iż co najmniej do końca czerwca 2021 roku nie wiele w tym temacie ulegnie zmianie.
Więcej informacji dotyczących ochrony danych osobowych w kontekście wyjścia Wielkiej Brytanii z Unii Europejskiej znaleźć można na stronach Komisji Europejskiej oraz Urzędu Ochrony Danych Osobowych:
https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_pl
https://uodo.gov.pl/pl/138/665
Autor: Tomasz Cieślik