Brexit stał się faktem. 1 lutego 2020 r. weszła w życie umowa o wystąpieniu Wielkiej Brytanii z Unii Europejskiej. Od tego dnia Wielka Brytania nie jest już państwem członkowskim UE. Brexit rodzi wśród przedsiębiorców duże obawy związane z przetwarzaniem danych osobowych, w tym związane z przekazywaniem ich do i z Wielkiej Brytanii. Nie ma się co dziwić. Brak stosownych ustaleń może bowiem oznaczać, że Wielka Brytania będzie traktowana jako państwo trzecie w rozumieniu RODO, co może rodzić duże komplikacje po stronie administratorów.
W okresie przejściowym na dotychczasowych zasadach
Do końca bieżącego roku przedsiębiorcy mogą spać spokojnie. Do tego czasu obowiązywać będzie tzw. okres przejściowy, podczas którego prawo UE dotyczące ochrony danych osobowych (m.in. RODO) będzie miało w pełni zastosowanie do Wielkiej Brytanii. Oznacza to, że w tym okresie możliwy będzie swobodny transfer danych osobowych do i z Wielkiej Brytanii w oparciu o przepisy RODO. Problem polega jednak na tym, że nie wiadomo jak sytuacja kształtować się będzie od początku przyszłego roku. Wszystko zależy od dalszych ustaleń Wielkiej Brytanii z UE dotyczącej współpracy gospodarczej.
Do powyższej kwestii odniósł się także brytyjski organ nadzorczy, tj. The Information Commissioner’s Office (ICO) (oświadczenie ICO dostępne TUTAJ: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/01/statement-on-data-protection-and-brexit-implementation-what-you-need-to-do/). ICO zwrócił uwagę, że do końca grudnia bieżącego roku sytuacja dotycząca przetwarzania danych osobowych w Wielkiej Brytanii nie ulega zmianie. RODO ma pełne zastosowanie, zaś ICO pozostaje organem nadzorczym dla podmiotów prowadzących działalność na terytorium Wielkiej Brytanii. ICO podkreślił, że aktualnie nie wiadomo jak sytuacja wyglądać będzie po upływie okresu przejściowego, co niewątpliwie może rodzić obawy administratorów dotyczące transferu danych osobowych w przyszłości. ICO zachęcił również do korzystania z poradników i innych materiałów przygotowanych przez ICO dotyczących przetwarzania danych osobowych w związku z Brexitem (pomocne materiały przygotowane przez ICO dostępne TUTAJ: https://ico.org.uk/for-organisations/data-protection-and-brexit/). Wskazówek dotyczących tej kwestii można szukać również na stronie Ministerstwa Rozwoju (TUTAJ: https://www.brexit.gov.pl/ ).
Po okresie przejściowym – różne scenariusze
Po upływie okresu przejściowego, tj. od 1 stycznia 2021 r., możliwe są różne scenariusze. Wszystko zależy od kierunku negocjacji Wielkiej Brytanii i UE. Jeden z nich przewiduje, że Wielka Brytania traktowana będzie jako państwo trzecie w rozumieniu RODO. Dalszy transfer danych osobowych do Wielkiej Brytanii możliwy byłby w takiej sytuacji jedynie w oparciu o mechanizmy przewidziane w RODO (Rozdział V RODO), w tym np. w oparciu o decyzję Komisji Europejskiej, która potwierdzi, że Wielka Brytania zapewnia odpowiedni poziom ochrony danych osobowych lub np. w oparciu o przyjęte przez Komisję standardowe klauzule umowne.
Zakwalifikowanie Wielkiej Brytanii jako państwa trzeciego w rozumieniu RODO mogłoby mieć poważne konsekwencje dla administratorów. Przedsiębiorcy musieliby dostosować swoje procesy przetwarzania danych osobowych do nowych wymogów. Konieczne byłyby zmiany w wewnętrznych politykach dotyczących przetwarzania danych osobowych. Niezbędnych modyfikacji wymagałyby także zawarte umowy powierzenia przetwarzania danych, rejestr przetwarzania, czy też chociażby treść klauzuli informacyjnej. Taki scenariusz mógłby być zatem dotkliwy dla przedsiębiorców realizujących swoje interesy na terytorium Wielkiej Brytanii, które wiążą się z koniecznością przepływu danych osobowych.
Pomimo tego, że w okresie przejściowym możliwy jest swobodny przepływ danych osobowych, w oparciu o przepisy RODO, przedsiębiorcy (administratorzy) powinni już teraz rozpocząć przygotowania na różne scenariusze. Takie zachowawcze podejście z pewnością umożliwi administratorom w miarę bezbolesne funkcjonowanie od 1 stycznia 2021 r., tj. po zakończeniu okresu przejściowego.