14 kwietnia br. Europejska Rada Ochrony Danych (EROD) wydała dwie pozytywne opinie (14/2021 i 15/2021) dotyczące projektu decyzji Komisji Europejskiej (KE) w sprawie odpowiedniego poziomu ochrony danych osobowych w Wielkiej Brytanii. To dobry prognostyk dla przedsiębiorców i innych podmiotów transferujących dane osobowe do i z Wielkiej Brytanii. Przyjęcie tej decyzji zbliży bowiem do utrzymania swobodnego przepływu danych osobowych po Brexicie.
Warto przypomnieć, że tzw. mechanizm pomostowy uzgodniony w ramach umowy o handlu i współpracy umożliwia swobodny transfer danych osobowych na linii UE – Wielka Brytania tylko do 1 maja br. Termin ten może zostać jednak przedłużony do 1 lipca 2021 r. Nieprzyjęcie do tego czasu przez KE przedmiotowej decyzji spowoduje, że administratorzy będą musieli korzystać z alternatywnych rozwiązań w tym zakresie, takich jak np. standardowe klauzule umowne, które nie są idealne.
Dwie opinie EROD
EROD ocenił w swoich opiniach projekt decyzji KE w świetle różnych regulacji prawnych. W opinii 14/2021 dokonał jego analizy w oparciu o przepisy RODO. Ocenił w niej zarówno ogólne aspekty ochrony danych osobowych, jak i kwestię dostępu do danych osobowych przez inne państwa w celu egzekwowania prawa i zagwarantowania bezpieczeństwa narodowego. W opinii 15/2021 EROD przeanalizował natomiast projekt decyzji KE w świetle tzw. dyrektywy w sprawie egzekwowania prawa (LED). Jest to o tyle ciekawe, że jest to pierwszy projekt decyzji KE dotyczący zapewnienia przez państwo trzecie odpowiedniego poziomu ochrony danych osobowych, który został zaopiniowany przez EROD w oparciu o ten akt prawny.
EROD pozytywnie o projekcie
EROD wyraził w opiniach zadowolenie z propozycji treści projektu decyzji KE dotyczącego odpowiedniego poziomu ochrony danych osobowych w Wielkiej Brytanii. Uznał wiele aspektów brytyjskich ram prawnych w zakresie ochrony danych osobowych za „zasadniczo równoważne” z zabezpieczeniami zagwarantowanymi w przepisach RODO. EROD zwrócił przede wszystkim uwagę na podobieństwo stosowanych pojęć (dane osobowe, przetwarzanie danych osobowych, czy też administrator), podstaw prawnych przetwarzania danych osobowych oraz zasad, kwestii bezpieczeństwa i poufności, czy też zautomatyzowanego podejmowania decyzji i profilowania. Co ciekawe EROD wskazał, że w jego ocenie brytyjskie prawo o ochronie danych osobowych gwarantuje wyższe standardy, niż te, które wymagane są, aby dane państwo trzecie zostało uznane za zapewniające odpowiedni stopień ochrony.
W ocenie EROD – potrzebna dodatkowa analiza
Pomimo uznania, że brytyjskie przepisy z zakresu ochrony danych osobowych dostosowane są w znacznym stopniu do uregulowań RODO, EROD zwrócił się jednak do KE o dokonanie dodatkowej analizy niektórych kwestii. W pierwszej kolejności – w ocenie EROD – KE powinna ocenić brytyjskie przepisy w kontekście zamiarów Wielkiej Brytanii opracowania odrębnych polityk w zakresie w zakresie ochrony danych, co zdaniem EROD może prowadzić do znacznych rozbieżności z unijnymi standardami w tym zakresie. Wątpliwości organu doradczego wzbudziły również kwestie odpowiedniego zabezpieczenia danych osobowych w ramach szeroko pojętego wyłączenia imigracyjnego oraz dalszego przekazywania danych osobowych do innych krajów spoza EOG, jak również wzajemnego oddziaływania przepisów brytyjskich i tych obowiązujących w USA. EROD zasygnalizował również KE konieczność bacznej obserwacji skuteczności brytyjskiego organu nadzorczego (ICO) w zakresie egzekwowania prawa o ochronie danych osobowych.
Precedensowa decyzja
EROD zwrócił uwagę KE w swoich opiniach na możliwość korzystania przez nią z uprawnień w zakresie zawieszania, zmiany albo nawet uchylenia decyzji w sprawie odpowiedniego poziomu ochrony danych osobowych. Warto zauważyć, że KE zdecydowała się w tym przypadku na zastosowanie precedensowego rozwiązania. Wprowadziła bowiem do projektu decyzji w sprawie Wielkiej Brytanii klauzulę dotyczącą wygaśnięcia decyzji po upływie czterech lat (przedłużenie wymagać będzie ponownej oceny). W razie jej przyjęcia w obecnym kształcie, byłaby to pierwsza decyzja KE stwierdzająca odpowiedni stopień ochrony danych osobowych w państwie trzecim z tzw. klauzulą wygaśnięcia.
Źródło:
https://edpb.europa.eu/news/news/2021/edpb-opinions-draft-uk-adequacy-decisions_en
Polecamy także:
Jaka przyszłość czeka wiążące reguły korporacyjne (BCR)
Brexit a ważność BCR zatwierdzonych przez ICO