GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Opinie EROD w sprawie przekazywania danych do Wielkiej Brytanii

Autor: Redakcja
Udostępnij publikację:
Opinie EROD w sprawie przekazywania danych do Wielkiej Brytanii

14 kwietnia br. Europejska Rada Ochrony Danych (EROD) wydała dwie pozytywne opinie (14/2021 i 15/2021) dotyczące projektu decyzji Komisji Europejskiej (KE) w sprawie odpowiedniego poziomu ochrony danych osobowych w Wielkiej Brytanii. To dobry prognostyk dla przedsiębiorców i innych podmiotów transferujących dane osobowe do i z Wielkiej Brytanii. Przyjęcie tej decyzji zbliży bowiem do utrzymania swobodnego przepływu danych osobowych po Brexicie.

Warto przypomnieć, że tzw. mechanizm pomostowy uzgodniony w ramach umowy o handlu i współpracy umożliwia swobodny transfer danych osobowych na linii UE – Wielka Brytania tylko do 1 maja br. Termin ten może zostać jednak przedłużony do 1 lipca 2021 r. Nieprzyjęcie do tego czasu przez KE przedmiotowej decyzji spowoduje, że administratorzy będą musieli korzystać z alternatywnych rozwiązań w tym zakresie, takich jak np. standardowe klauzule umowne, które nie są idealne.

Dwie opinie EROD

EROD ocenił w swoich opiniach projekt decyzji KE w świetle różnych regulacji prawnych. W opinii 14/2021 dokonał jego analizy w oparciu o przepisy RODO. Ocenił w niej zarówno ogólne aspekty ochrony danych osobowych, jak i kwestię dostępu do danych osobowych przez inne państwa w celu egzekwowania prawa i zagwarantowania bezpieczeństwa narodowego. W opinii 15/2021 EROD przeanalizował natomiast projekt decyzji KE w świetle tzw. dyrektywy w sprawie egzekwowania prawa (LED). Jest to o tyle ciekawe, że jest to pierwszy projekt decyzji KE dotyczący zapewnienia przez państwo trzecie odpowiedniego poziomu ochrony danych osobowych, który został zaopiniowany przez EROD w oparciu o ten akt prawny.

EROD pozytywnie o projekcie

EROD wyraził w opiniach zadowolenie z propozycji  treści projektu decyzji KE dotyczącego odpowiedniego poziomu ochrony danych osobowych w Wielkiej Brytanii. Uznał wiele aspektów brytyjskich ram prawnych w zakresie ochrony danych osobowych za „zasadniczo równoważne” z zabezpieczeniami zagwarantowanymi w przepisach RODO. EROD zwrócił przede wszystkim uwagę na podobieństwo stosowanych pojęć (dane osobowe, przetwarzanie danych osobowych, czy też administrator), podstaw prawnych przetwarzania danych osobowych oraz zasad, kwestii bezpieczeństwa i poufności, czy też zautomatyzowanego podejmowania decyzji i profilowania. Co ciekawe EROD wskazał, że w jego ocenie brytyjskie prawo o ochronie danych osobowych gwarantuje wyższe standardy, niż te, które wymagane są, aby dane państwo trzecie zostało uznane za zapewniające odpowiedni stopień ochrony.

W ocenie EROD – potrzebna dodatkowa analiza

Pomimo uznania, że brytyjskie przepisy z zakresu ochrony danych osobowych dostosowane są w znacznym stopniu do uregulowań RODO, EROD zwrócił się jednak do KE o dokonanie dodatkowej analizy niektórych kwestii. W pierwszej kolejności – w ocenie EROD – KE powinna ocenić brytyjskie przepisy w kontekście zamiarów Wielkiej Brytanii opracowania odrębnych polityk w zakresie w zakresie ochrony danych, co zdaniem EROD może prowadzić do znacznych rozbieżności z unijnymi standardami w tym zakresie. Wątpliwości organu doradczego wzbudziły również kwestie odpowiedniego zabezpieczenia danych osobowych w ramach szeroko pojętego wyłączenia imigracyjnego oraz dalszego przekazywania danych osobowych do innych krajów spoza EOG, jak również wzajemnego oddziaływania przepisów brytyjskich i tych obowiązujących w USA. EROD zasygnalizował również KE konieczność bacznej obserwacji skuteczności brytyjskiego organu nadzorczego (ICO) w zakresie egzekwowania prawa o ochronie danych osobowych.

Precedensowa decyzja

EROD zwrócił uwagę KE w swoich opiniach na możliwość korzystania przez nią z uprawnień w zakresie zawieszania, zmiany albo nawet uchylenia decyzji w sprawie odpowiedniego poziomu ochrony danych osobowych. Warto zauważyć, że KE zdecydowała się w tym przypadku na zastosowanie precedensowego rozwiązania. Wprowadziła bowiem do  projektu decyzji w sprawie Wielkiej Brytanii klauzulę dotyczącą wygaśnięcia decyzji po upływie czterech lat (przedłużenie wymagać będzie ponownej oceny). W razie jej przyjęcia w obecnym kształcie, byłaby to pierwsza decyzja KE stwierdzająca odpowiedni stopień ochrony danych osobowych w państwie trzecim z tzw. klauzulą wygaśnięcia.

Źródło:

https://edpb.europa.eu/news/news/2021/edpb-opinions-draft-uk-adequacy-decisions_en

Polecamy także:

Jaka przyszłość czeka wiążące reguły korporacyjne (BCR)

Brexit a ważność BCR zatwierdzonych przez ICO

Wiążące reguły korporacyjne jako instrument legalizujący przekazywanie danych osobowych do państw trzecich

Amerykańskie echa wyroku TSUE

 

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter