Brexit puzzle – co dalej z przepływami danych osobowych?

Brexit puzzle – co dalej z przepływami danych osobowych?
25 listopada przyjęto porozumienie ws. Brexit. Mimo nowej umowy w chwili obecnej scenariuszy związanych z Brexit jest wciąż kilka, dlatego warto szerzej spojrzeć na problem przetwarzania danych osobowych w Wielkiej Brytanii w okresie przejściowym oraz po wystąpieniu kraju z UE.
O autorze
3 min czytania 2018-11-29

Jeśli porozumienie ws. Brexit zostanie przyjęte przez parlament brytyjski, 29 marca 2019 r., będzie ostatnim dniem Wielkiej Brytanii w UE. 30 marca 2019 r. z kolei rozpocznie się okres przejściowy (inaczej zwany okresem implementacji), który ma na celu usprawnienie procesu wyjścia Wielkiej Brytanii z Unii Europejskiej, zapewniając jednocześnie minimalizację zakłóceń z tym związanych. Okres przejściowy ma potrwać do 31 grudnia 2020 roku (z możliwością ewentualnego przedłużenia na wniosek strony brytyjskiej). Wobec niepewności co do dalszych losów porozumienia ws. Brexit, mamy do czynienia z kilkoma scenariuszami kształtowania się zasad przepływów danych osobowych pomiędzy UE a Wielką Brytanią. Uwagę należy również zwrócić na podpisaną także 25 listopada 2018 r., deklarację polityczną określającą ramy przyszłych stosunków między Unią Europejską a Wielką Brytanią. Jest ona istotna z punktu widzenia ewolucji stanowiska Komisji Europejskiej co do momentu rozpoczęcia oceny standardów ochrony danych osobowych w Wielkiej Brytanii oraz uznania jej za zapewniającą adekwatny stopień ochrony danych wraz z upływem okresu przejściowego Brexit.

Okres przejściowy – czego możemy się spodziewać

Dotychczasowe stanowisko Komisji Europejskiej w zakresie uznania UK za zapewniającą adekwatny stopień ochrony danych osobowych zakładało, że proces ten nie może być rozpoczęty przed uznaniem UK za państwo trzecie w rozumieniu RODO. Tymczasem w deklaracji, o której wspomniano wyżej, widać znaczące  ustępstwo po stronie KE, gdyż ukończenie oceny adekwatności stopnia ochrony danych osobowych w UK przed końcowym terminem okresu przejściowego korzystnie wpłynie na płynność transferu danych osobowych pomiędzy UE a Wielką Brytanią oraz na pewność obrotu gospodarczego (o ile ocena KE będzie pozytywna, chociaż dotychczasowy dorobek Wielkiej Brytanii w zakresie ochrony danych osobowych oraz praktyka brytyjskiego organu nadzorczego nie wskazują na to, by miało być  inaczej).

Jak naprawdę mają się sprawy ze wskazanym okresem przejściowym?

LinkedIn logo
Na LinkedInie obserwuje nas ponad 97 tys. osób. Jesteś tam z nami?
Obserwuj

Pierwotnie określony na 21 miesięcy (od 30 marca 2019 do 31 grudnia 2020 roku), może zostać wydłużony – obie strony negocjacji już zadeklarowały prawdopodobieństwo skorzystania z tej możliwości. Bez względu na to czy okres ten potrwa do końca roku 2020, czy też zostanie przedłużony o kolejne miesiące, pewnym jest, że podczas okresu przejściowego w Wielkiej Brytanii nadal obowiązywać będą przepisy RODO oraz pozostałe akty prawne UE dotyczące danych osobowych. To daje poczucie względnego spokoju do czasu upływu okresu przejściowego. Punkt pierwszy może jednak nie mieć zastosowania jeśli porozumienie ws. Brexit ostatecznie nie zostanie przyjęte, a wraz z porozumieniem przepadnie koncepcja okresu przejściowego. Co wtedy? Scenariusze znajdują się poniżej.

Co po okresie przejściowym?

Słuchaj podcastu NowyMarketing

Po zakończeniu okresu przejściowego przewiduje się dwa podejścia znajdujące się w porozumieniu ws. Brexit. Pierwsze przewidziane w art. 71 ust. 1 porozumienia wskazuje, że unijne prawo o ochronie danych osobowych będzie nadal obowiązywało w odniesieniu do osób przebywających poza Wielką Brytanią, których dane osobowe były już przetwarzane w Wielkiej Brytanii przed końcem okresu przejściowego. To samo prawo będzie miało również zastosowanie do przetwarzania danych osobowych podejmowanych po upływie okresu przejściowego, na podstawie przepisów porozumienia o wystąpieniu Wielkiej Brytanii z Unii Europejskiej.

NowyMarketing logo
Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?
Rozwijaj się

Podejście drugie zakłada uznanie Wielkiej Brytanii za zapewniającą adekwatny stopień ochrony danych osobowych na mocy decyzji Komisji Europejskiej. Wskutek takiej decyzji transfer danych osobowych do Wielkiej Brytanii jest możliwy bez podejmowania dodatkowych zabiegów, przy czym należy pamiętać, że decyzja o adekwatności stopnia ochrony danych osobowych zawsze określa, zgodnie z art. 45 ust. 3 RODO, terytorialny i sektorowy zakres jej zastosowania. W takim przypadku Wielka Brytania nie będzie już podlegać bezpośrednio przepisom prawa Unii Europejskiej w zakresie ochrony danych, ale może zamiast tego stosować własne prawa (i wprowadzać do nich zmiany), o ile przepisy te nadal będą spełniać wymogi adekwatności.

Swoboda w kształtowaniu przez Wielką Brytanię przepisów prawa z zakresu danych osobowych może być jednakże zdecydowanie ograniczona, o ile dojdzie do przyjęcia porozumienia ws. Brexit przez parlament brytyjski. Wielka Brytania zobowiązuje się bowiem do zapewnienia poziomu ochrony danych osobowych „zasadniczo równoważnego” do tego, z jakim mamy do czynienia w UE. Konsekwencje? Nie dość, że własna inicjatywa ustawodawcza Wielkiej Brytanii będzie zdecydowanie ograniczona, to również koniecznym będzie dotrzymanie kroku zmianom legislacyjnym w UE.

A jeśli do porozumienia ws. Brexit ostatecznie nie dojdzie…?

Z uwagi na dynamiczny rozwój sytuacji politycznej w Wielkiej Brytanii, zatwierdzenie porozumienia ws. Brexit wcale nie jest do końca pewne. Brak osiągnięcia porozumienia oznacza, że Wielka Brytania już za nieco ponad 4 miesiące może zostać uznana za państwo trzecie w rozumieniu przepisów RODO. Jeśli tak się stanie, od tego momentu każdy przepływ danych osobowych do Wielkiej Brytanii będzie podlegał przepisom rozdziału V RODO.

(Awaryjne) plany działania

Niepewny stan prawny kontra ciągłość biznesowa i niezakłócony transfer danych osobowych – któż tego nie doświadczył w dobie transformacji wywołanej uchwaleniem RODO? I gdyby tego było mało,  większą część uwagi pod tym kątem wymagają możliwe warianty wyjścia Wielkiej Brytanii z UE. Podmioty wykorzystujące w swej działalności tzw. „cross-border data processing” pomiędzy UE a Wielką Brytanią, jeśli dotychczas nie wdrożyły odpowiednich planów wobec różnych scenariuszy Brexit, powinny rozważyć opracowanie i stosowanie odpowiednich planów działania czy dalej idąc – planów awaryjnych. Wśród nich powinny znaleźć się również standardowe klauzule umowne jako jeden z mechanizmów legalizujących transfer danych osobowych do państwa trzeciego.

 

Maciej Kawiorski
associate w kancelarii Maruta Wachta, doradzający w zakresie prawa ochrony danych osobowych (w tym compliance, risk management), własności intelektualnej i przemysłowej, postępowań arbitrażowych dotyczących nazw domen internetowych, jak również prawa autorskiego. Prowadzi projekty wdrożeniowe RODO m.in. w sektorach: IT, ubezpieczeniowym, budowlanym oraz NGOs.