31 grudnia ubiegłego roku (2020) skończył się tzw. okres przejściowy, podczas którego zgodnie z umową o wystąpieniu Wielkiej Brytanii (UK) z Unii Europejskiej (UE), unijne prawo ochrony danych osobowych (m.in. RODO) miało pełne zastosowanie do UK. Od tego momentu Wielka Brytania stała się państwem trzecim, w rozumieniu przepisów RODO, czego konsekwencją – w założeniu – miało być m.in. ograniczenie swobodnego przepływu danych osobowych z i do UE. Tak się jednak nie stało. 24 grudnia 2020 r. przedstawiciele Wielkiej Brytanii i Unii Europejskiej podpisali bowiem porozumienie o handlu i współpracy (Trade and Cooperation Agreement), mocą którego wydłużono – o nawet 6 miesięcy – termin, w którym możliwy jest swobodny transfer danych osobowych z UK do UE. To dobra wiadomość m.in. dla przedsiębiorców z UK oraz UE.
Przedsiębiorcy mogą transferować
Porozumienie o handlu i współpracy dopuszcza możliwość swobodnego transferowania danych osobowych na linii UK-UE, niemniej ogranicza tę możliwość do dwóch przypadków, tj. przekazywania ich na potrzeby realizacji zadań przez organy ścigania oraz w celach czysto biznesowych. W założeniu, przedsiębiorcy będą mogli swobodnie transferować dane osobowe przez kolejne 6 miesięcy, niemniej okres ten może ulec zmianie w przypadku zatwierdzenia przez Radę UE decyzji stwierdzającej odpowiedni stopień ochrony. Wydanie takiej decyzji wymaga jednak dla swojej skuteczności wniosku Komisji Europejskiej, opinii Europejskiej Rady Ochrony Danych (EROD) oraz zgody m.in. przedstawicieli państw członkowskich UE. Co ciekawe, Wielka Brytania oficjalnie uznała już kraje z UE i EOG za zapewniające odpowiednią gwarancję dla bezpiecznego transferu danych osobowych z UK.
Warto również zwrócić uwagę, że – pomimo przyjęcia ww. porozumienia – od 1 stycznia br. w UK nie obowiązuje już tzw. mechanizm „one-stop shop”. Oznacza to, że administratorzy i podmioty przetwarzające dane osobowe, którzy mają swoją siedzibę jedynie w UK, będą zobowiązani do wyznaczenia swojego przedstawiciela w UE, stosownie do art. 27 RODO.
ICO zaleca rozsądek
Brytyjski organ ds. ochrony danych osobowych (The Information Commissioner’s Office – ICO) zasugerował m.in. administratorom, aby zastosowali oni rozsądne środki ostrożności podczas wydłużonego okresu przejściowego. W ocenie ICO, podmioty przetwarzające dane osobowe powinny ściśle współpracować z organizacjami z UE i EOG, które przekazują im dane osobowe. Taka współpraca powinna zaowocować – zdaniem brytyjskiego organu nadzorczego – wypracowaniem i wdrożeniem alternatywnych mechanizmów przekazywania danych osobowych, co w konsekwencji mogłoby zabezpieczyć administratorów przed brakiem możliwości dokonywania swobodnego transferu danych osobowych na linii UK-UE.
Media zgłaszają wątpliwości
Zagraniczne media donoszą, że organizacje zajmujące się szerokorozumianym zagadnieniem ochrony danych osobowych i prywatności prawdopodobnie będą negować każdą decyzję stwierdzającą odpowiedni stopień ochrony w UK. Osiągnięcie przez Wielką Brytanię odpowiedniego poziomu ochrony w zakreślonym – 6 miesięcznym – terminie, może więc nie uchronić jej przed próbą zakwestionowania tej okoliczności przez wskazane organizacje, które już od dawna próbują podważyć brytyjskie uprawnienia w zakresie nadzoru.
Wielka Brytania będzie miała nową ustawę o ochronie danych osobowych
Co ciekawe, zgodnie z porozumieniem o handlu i współpracy, Wielka Brytania nie może aktualnie negocjować umów dotyczących transferu danych osobowych z innymi krajami trzecimi, w tym np. ze Stanami Zjednoczonymi. Przepływ danych osobowych do tych państw możliwy jest jednak w oparciu o procedury, które są tożsame z tymi, które funkcjonowały w UK na mocy RODO i brytyjskiej ustawy o ochronie danych osobowych z 2018 r.
Źródło:
https://iapp.org/news/a/uk-eu-reach-interim-data-flow-agreement/
