31 grudnia br. kończy się tzw. okres przejściowy, w którym zgodnie z umową o wystąpieniu Wielkiej Brytanii (UK) z Unii Europejskiej (UE), unijne prawo ochrony danych osobowych (m.in. RODO) miało pełne zastosowanie do UK. Od tego momentu Wielka Brytania stanie się państwem trzecim, w rozumieniu przepisów RODO, czego konsekwencją będzie m.in. ograniczenie swobodnego przepływu danych osobowych z i do UE.
Stały przepływ danych osobowych ma duże znaczenie dla funkcjonowania gospodarek zarówno UK, jak i innych państw UE. Szacuje się, że w 2018 r. wartość części gospodarki UE opartej na danych osobowych wynosiła aż 301 mld funtów (ok. 2,4% PKB UE). Komisja Europejska (KE) szacuje, że do 2025 r. wartość ta wzrośnie do 829 mld funtów (5,8% PKB UE). Jakiekolwiek większe przeszkody w przepływie danych osobowych z UK do UE mogłyby mieć zatem bardzo negatywne konsekwencje.
Decyzja czy standardowe klauzule umowne
Od 1 stycznia 2021 r. dane osobowe będą mogły być przekazywane do i z UK m.in. w oparciu o stosowną decyzję KE stwierdzającą odpowiedni stopień ochrony lub na podstawie tzw. standardowych klauzul umownych (SKU). Decyzja stwierdzająca odpowiedni stopień ochrony (art. 45 RODO) to instytucja, której nadrzędnym celem jest zagwarantowanie ochrony praw obywateli UE m.in. poprzez wymuszenie stosowania najwyższych standardów ochrony danych osobowych. Stosując ją – mówiąc najprościej – KE dokonuje oceny poziomu ochrony danych osobowych w danym państwie trzecim (np. od 1 stycznia 2021 r. w UK) i, w zależności od tego, czy uzna go za co najmniej równoważny z poziomem zapewnionym w UE, wyda decyzję stwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony. Ale to wymaga podjęcia takiej decyzji przez KE, a na dziś UK nie jest krajem trzecim. Wydaje się, zatem, że najbardziej prawdopodobnym scenariuszem pobrexitowym jest ten, zakładający transfer danych osobowych z i do UK na podstawie SKU. Treść tych klauzul uzgadniana będzie między nadawcami i odbiorcami danych osobowych w UK i UE.
Niepewna sytuacja po wyrokach TSUE
Sytuację związaną z planowanymi sposobami transferowania danych osobowych do i z UK dodatkowo komplikuje ostatnie orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Przypomnijmy, w lipcu br. TSUE wydał orzeczenie w głośnej sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems (C-311/18). TSUE uznał w tym wyroku za nieważną decyzję wykonawczą KE (2016/1250) z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Od dnia publikacji tego wyroku Tarcza Prywatności nie może już stanowić podstawy prawnej do przekazywania danych osobowych do USA (szerokie omówienie tego wyroku TSUE można znaleźć TUTAJ – https://gdpr.pl/aktualnosci/przekazywanie-danych-do-usa-ponownie-pod-znakiem-zapytania). Jak słusznie zauważają zagraniczne media, celem tego postępowania było także unieważnienie SKU. Chociaż TSUE ostatecznie nie przychylił się do takiego rozwiązania, zaczęto bardziej wnikliwie przyglądać się SKU po tym orzeczeniu.
Warto również zwrócić uwagę na inne orzeczenie TSUE, które może mieć poważne konsekwencje dla dalszego przekazywania danych osobowych do UK, w tym w kontekście ewentualnej decyzji KE w sprawie stwierdzenia odpowiedniego stopnia ochrony w UK. TSUE w wyroku z 6 października br. (sprawa Privacy International, C-623/17) orzekł, że niezgodne z prawem unijnym są takie przepisy krajowe, które umożliwiają organom krajowym odpowiedzialnym za zapewnienie bezpieczeństwa narodowego, zażądać od operatorów telekomunikacyjnych masowego i niezróżnicowanego przesyłania danych o ruchu i lokalizacji abonentów. Wyrok ten zapadł w kontekście oceny właśnie brytyjskich przepisów prawa, w tym ustawy telekomunikacyjnej (Telecommunications Act) oraz ustawy Investigatory Power’s Act (IPA). Przepisy te gwarantują brytyjskim służbom dostęp do takich danych telekomunikacyjnych.
Możliwe skutki wyroku TSUE
Wydaje się, że znaczenie orzeczenia w sprawie Privacy International może znacznie wykraczać poza jego bezpośredni kontekst, w tym w szczególności potencjalnie rodzić wątpliwości, czy UK może zostać uznana przez KE za kraj trzeci, który zapewnia odpowiedni poziom ochrony (art. 45 RODO). Przypomnijmy, że KE może przyznać adekwatność tylko wtedy, gdy istnieje „odpowiednia ochrona” osób, których dane dotyczą, w danej jurysdykcji, uwzględniając między innymi: „praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie prawodawstwo, zarówno ogólne, jak i sektorowe, w tym dotyczące bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego i prawa karnego oraz dostępu władz publicznych do danych osobowych…”.
Orzeczenie TSUE w tej sprawie nie może zostać niedostrzeżone przez KE w razie podejmowania decyzji stwierdzającej, że UK zapewnia odpowiedni stopień ochrony. Podobnie jak w przypadku Tarczy Prywatności, określone przepisy IPA i brytyjskiego prawa telekomunikacyjnego mogą teoretycznie zostać uznane – w świetle tego orzeczenia TSUE – za naruszające prawa osób, których dane dotyczą.
Jeżeli UK nie znowelizuje w określonym zakresie swojego IPA i prawa telekomunikacyjnego (co wydaje się mało prawdopodobne w obecnej sytuacji politycznej), nie można wykluczyć żadnego scenariusza.
Źródła:
https://ec.europa.eu/commission/presscorner/detail/en/fs_20_283
https://ukandeu.ac.uk/the-increasingly-thorny-issue-of-data-transfers-after-brexit/
