Brexit a unijne prawo o ochronie danych osobowych

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online
Maciej Kawiorski, kancelaria Maruta Wachta
Maciej Kawiorski, Kancelaria Maruta Wachta

25 listopada przyjęto porozumienie ws. Brexit, chociaż możliwość zatwierdzenia takiego kształtu porozumienia przez parlament brytyjski stoi pod znakiem zapytania, w związku z dynamicznym rozwojem sytuacji politycznej w Wielkiej Brytanii. Co więcej, mimo przyjętego porozumienia, w chwili obecnej scenariuszy związanych z Brexit jest wciąż kilka, dlatego warto szerzej spojrzeć na problem przetwarzania danych osobowych w Wielkiej Brytanii w okresie przejściowym oraz po wystąpieniu kraju z Unii Europejskiej.

Jeśli porozumienie ws. Brexit zostanie przyjęte przez parlament brytyjski, 29 marca 2019 r., będzie ostatnim dniem Wielkiej Brytanii w UE. 30 marca 2019 r., z kolei rozpocznie się okres przejściowy (inaczej zwany okresem implementacji), który ma na celu usprawnienie procesu wyjścia Wielkiej Brytanii z Unii Europejskiej, zapewniając jednocześnie minimalizację zakłóceń z tym związanych. Okres przejściowy ma potrwać do 31 grudnia 2020 roku (z możliwością ewentualnego przedłużenia na wniosek strony brytyjskiej). Wobec niepewności co do dalszych losów porozumienia ws. Brexit, mamy do czynienia z kilkoma scenariuszami kształtowania się zasad przepływów danych osobowych pomiędzy UE a Wielką Brytanią. Uwagę należy również zwrócić na podpisaną także 25 listopada 2018 r., deklarację polityczną określającą ramy przyszłych stosunków między Unią Europejską a Wielką Brytanią. Jest ona istotna z punktu widzenia ewolucji stanowiska Komisji Europejskiej co do momentu rozpoczęcia oceny standardów ochrony danych osobowych w Wielkiej Brytanii oraz uznania jej za zapewniającą adekwatny stopień ochrony danych wraz z upływem okresu przejściowego Brexit.

Okres przejściowy – czego możemy się spodziewać

Dotychczasowe stanowisko Komisji Europejskiej w zakresie uznania UK za zapewniającą adekwatny stopień ochrony danych osobowych zakładało, że proces ten nie może być rozpoczęty przed uznaniem UK za państwo trzecie w rozumieniu RODO. Tymczasem w deklaracji, o której wspomniano wyżej, widać znaczące  ustępstwo po stronie KE, gdyż ukończenie oceny adekwatności stopnia ochrony danych osobowych w UK przed końcowym terminem okresu przejściowego korzystnie wpłynie na płynność transferu danych osobowych pomiędzy UE a Wielką Brytanią oraz na pewność obrotu gospodarczego (o ile ocena KE będzie pozytywna, chociaż dotychczasowy dorobek Wielkiej Brytanii w zakresie ochrony danych osobowych oraz praktyka brytyjskiego organu nadzorczego nie wskazują na to, by miało być  inaczej).

Jak naprawdę mają się sprawy ze wskazanym okresem przejściowym?

Pierwotnie określony na 21 miesięcy (od 30 marca 2019 do 31 grudnia 2020 roku), może zostać wydłużony – obie strony negocjacji już zadeklarowały prawdopodobieństwo skorzystania z tej możliwości. Bez względu na to czy okres ten potrwa do końca roku 2020, czy też zostanie przedłużony o kolejne miesiące, pewnym jest, że podczas okresu przejściowego w Wielkiej Brytanii nadal obowiązywać będą przepisy RODO oraz pozostałe akty prawne UE dotyczące danych osobowych. To daje poczucie względnego spokoju do czasu upływu okresu przejściowego. Punkt pierwszy może jednak nie mieć zastosowania jeśli porozumienie ws. Brexit ostatecznie nie zostanie przyjęte, a wraz z porozumieniem przepadnie koncepcja okresu przejściowego. Co wtedy? Scenariusze znajdują się poniżej.

Co po okresie przejściowym?

Po zakończeniu okresu przejściowego przewiduje się dwa podejścia znajdujące się w porozumieniu ws. Brexit. Pierwsze przewidziane w art. 71 ust. 1 porozumienia wskazuje, że unijne prawo o ochronie danych osobowych będzie nadal obowiązywało w odniesieniu do osób przebywających poza Wielką Brytanią, których dane osobowe były już przetwarzane w Wielkiej Brytanii przed końcem okresu przejściowego. To samo prawo będzie miało również zastosowanie do przetwarzania danych osobowych podejmowanych po upływie okresu przejściowego, na podstawie przepisów porozumienia o wystąpieniu Wielkiej Brytanii z Unii Europejskiej.

Podejście drugie zakłada uznanie Wielkiej Brytanii za zapewniającą adekwatny stopień ochrony danych osobowych na mocy decyzji Komisji Europejskiej. Wskutek takiej decyzji transfer danych osobowych do Wielkiej Brytanii jest możliwy bez podejmowania dodatkowych zabiegów, przy czym należy pamiętać, że decyzja o adekwatności stopnia ochrony danych osobowych zawsze określa, zgodnie z art. 45 ust. 3 RODO, terytorialny i sektorowy zakres jej zastosowania. W takim przypadku Wielka Brytania nie będzie już podlegać bezpośrednio przepisom prawa Unii Europejskiej w zakresie ochrony danych, ale może zamiast tego stosować własne prawa (i wprowadzać do nich zmiany), o ile przepisy te nadal będą spełniać wymogi adekwatności.

Swoboda w kształtowaniu przez Wielką Brytanię przepisów prawa z zakresu danych osobowych może być jednakże zdecydowanie ograniczona, o ile dojdzie do przyjęcia porozumienia ws. Brexit przez parlament brytyjski. Wielka Brytania zobowiązuje się bowiem do zapewnienia poziomu ochrony danych osobowych „zasadniczo równoważnego” do tego, z jakim mamy do czynienia w UE. Konsekwencje? Nie dość, że własna inicjatywa ustawodawcza Wielkiej Brytanii będzie zdecydowanie ograniczona, to również koniecznym będzie dotrzymanie kroku zmianom legislacyjnym w UE.

A jeśli do porozumienia ws. Brexit ostatecznie nie dojdzie…?

Z uwagi na dynamiczny rozwój sytuacji politycznej w Wielkiej Brytanii, zatwierdzenie porozumienia ws. Brexit wcale nie jest do końca pewne. Brak osiągnięcia porozumienia oznacza, że Wielka Brytania już za nieco ponad 4 miesiące może zostać uznana za państwo trzecie w rozumieniu przepisów RODO. Jeśli tak się stanie, od tego momentu każdy przepływ danych osobowych do Wielkiej Brytanii będzie podlegał przepisom rozdziału V RODO.

(Awaryjne) plany działania

Niepewny stan prawny kontra ciągłość biznesowa i niezakłócony transfer danych osobowych – któż tego nie doświadczył w dobie transformacji wywołanej uchwaleniem RODO? I gdyby tego było mało,  większą część uwagi pod tym kątem wymagają możliwe warianty wyjścia Wielkiej Brytanii z UE. Podmioty wykorzystujące w swej działalności tzw. „cross-border data processing” pomiędzy UE a Wielką Brytanią, jeśli dotychczas nie wdrożyły odpowiednich planów wobec różnych scenariuszy Brexit, powinny rozważyć opracowanie i stosowanie odpowiednich planów działania czy dalej idąc – planów awaryjnych. Wśród nich powinny znaleźć się również standardowe klauzule umowne jako jeden z mechanizmów legalizujących transfer danych osobowych do państwa trzeciego.

Autor: Maciej Kawiorski, Kancelaria Maruta Wachta

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI i prawo autorskie w firmie. Na co muszą uważać przedsiębiorcy?

Prawo autorskie przez lata kojarzyło się głównie z książkami,...

Większość polskich patentów nie jest komercjalizowana. Tylko co czwarty trafia na rynek

Jakie są losy wynalazków po uzyskaniu ochrony patentowej? Które...

AI w księgowości i podatkach. Błędna odpowiedź może słono kosztować

Już 23% firm w Polsce deklaruje wykorzystanie AI w...

Proces wygrany, reputacja przegrana? Jak przedsiębiorca powinien reagować na krytykę influencera

Spór wokół działalności internetowego twórcy Książulo oraz kolejne publiczne...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce zmian w Policji. Chodzi o odciski palców i profile DNA funkcjonariuszy

Prezes Urzędu Ochrony Danych Osobowych domaga się zmiany przepisów...

Reforma ROP do poprawy. Projekt UC100 może naruszać prawo UE

Projekt ustawy o opakowaniach i odpadach opakowaniowych (UC100) wymaga...

Nowa definicja mobbingu – czy pracodawcy rzeczywiście mają się czego obawiać?

Senat przyjął bez poprawek ustawę zmieniającą przepisy Kodeksu pracy...
Coś dla Ciebie