W ramach Umowy o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej strony (Trade and Cooperation Agreement, dalej: „TCA” lub „umowa o handlu i współpracy”) wynegocjowanej pomiędzy UE a Wielką Brytanią 24 grudnia 2020 r. zdecydowano się na utrzymanie swobodnego przepływu danych między Europejskim Obszarem Gospodarczym (27 państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia; dalej: „EOG”) a Wielką Brytanią od 1 stycznia 2021 r. Dodatkowy okres przejściowy ma obowiązywać maksymalnie do 1 lipca 2021 r.

Wstęp

Dnia 31 stycznia 2020 r. Wielka Brytania opuściła Unię Europejską, ale na 11-miesięczny okres przejściowy określony w „Umowie o wystąpieniu” Wielka Brytania nie była traktowana jako państwo trzecie w rozumieniu przepisów RODO. W tym okresie administratorzy i podmioty przetwarzające dane nie musieli podejmować dodatkowych działań, o których mowa w art. 44 i n. RODO[1], a transfery danych do Wielkiej Brytanii były traktowane jak te dokonywane między państwami członkowskimi UE. Okres przejściowy dla wystąpienia Wielkiej Brytanii z Unii Europejskiej zakończył się 31 grudnia 2020 r.

Tuż przed jego upływem, dnia 24 grudnia 2020 r., UE i Wielka Brytania wynegocjowały umowę o handlu i współpracy, w której postanowieniach końcowych zawarto tzw. klauzulę pomostową. W ramach tej klauzuli UE zgodziła się opóźnić wprowadzenie ograniczeń transferu danych o kolejne cztery miesiące, z możliwością przedłużenia tego okresu do sześciu miesięcy (tzw. klauzula pomostowa), tj. do 1 lipca 2021 r. Postanowienie to umożliwia swobodny przepływ danych osobowych z EOG do Wielkiej Brytanii do czasu przyjęcia decyzji stwierdzającej odpowiedni stopień ochrony lub upływu uzgodnionego dodatkowego okresu przejściowego.

Umowa TCA została ostatecznie uzgodniona między UE i Wielką Brytanią 24 grudnia 2020 r. i obowiązuje tymczasowo od 1 stycznia 2021 r. Do 28 lutego 2021 r. TCA musi zostać jeszcze formalnie zatwierdzona przez Parlament Europejski.

Klauzula pomostowa

Artykuł FINPROV 10A umowy TCA, który określa przepisy przejściowe dotyczące przekazywania danych osobowych do Wielkiej Brytanii, przewiduje, że transfery danych do tego państwa tymczasowo nie będą traktowane jako przekazywanie danych do państwa trzeciego.

W czasie trwania tego dodatkowego okresu przejściowego administratorzy i podmioty przetwarzające dane nie będą musieli spełniać dodatkowych wymogów, o których mowa w rozdziale V RODO.

Czas trwania okresu przejściowego

Podstawowy okres przejściowy określony w TCA, przez który transfer danych może się odbywać na dotychczasowych zasadach, to cztery miesiące. Okres ten może jednak zostać automatycznie przedłużony o kolejne dwa miesiące, tj. maksymalnie do 1 lipca 2021 r., chyba że jedna ze stron TCA się temu sprzeciwi.

Okres przejściowy może się zakończyć wcześniej, jeżeli Komisja Europejska wyda decyzje wykonawcze w sprawie odpowiedniego poziomu ochrony danych w odniesieniu do Zjednoczonego Królestwa zgodnie z art. 45 ust. 3 RODO i odpowiednio art. 36 ust. 3 dyrektywy 2016/680[2].

Co się stanie po zakończeniu okresu przejściowego?

Od 1 lipca 2021 r. Wielka Brytania będzie traktowana jako państwo trzecie, a do transferu danych do tego państwa zastosowanie znajdą postanowienia rozdziału V RODO (Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych).

Komisja Europejska zadeklarowała zamiar szybkiego rozpoczęcia formalnej procedury dotyczącej przyjęcia decyzji w sprawie odpowiedniego poziomu ochrony w odniesieniu do Zjednoczonego Królestwa.

Przed wydaniem takiej decyzji Komisja będzie musiała dokonać oceny brytyjskiego prawa ochrony danych osobowych i praktyki jego stosowania w świetle orzecznictwa Trybunału Sprawiedliwości UE. Zgodnie z art. 45 RODO przekazywanie danych na podstawie decyzji Komisji stwierdzającej odpowiedni stopień ochrony będzie możliwe bez konieczności spełnienia dodatkowych warunków.

Jeżeli jednak Komisja nie wyda w przewidzianym czasie decyzji w sprawie odpowiedniego poziomu ochrony, przekazywanie danych do Wielkiej Brytanii po upływie okresu przejściowego wymagać będzie zastosowania odpowiednich zabezpieczeń, o których mowa w art. 46 RODO (tj. m.in. standardowych klauzul umownych czy wiążących reguł korporacyjnych).

Na taką ewentualność zwraca uwagę również brytyjski organ nadzorczy – ICO. ICO  zaleca, aby przed okresem przejściowym i w jego trakcie firmy współpracowały z podmiotami z UE i EOG, które przekazują im dane osobowe, w celu wprowadzenia alternatywnych mechanizmów transferu danych, aby zabezpieczyć się przed wszelkimi przerwami w swobodnym przepływie danych osobowych z UE do Wielkiej Brytanii.

Warunki swobodnego przepływu danych w okresie przejściowym

TCA uzależnia zastosowanie klauzuli pomostowej od spełnienia przez Wielką Brytanię określonych warunków. Swobodny przepływ danych w okresie przejściowym jest uzależniony od zachowania przez Wielką Brytanię obowiązujących w dniu 31 grudnia 2020 r. przepisów o ochronie danych osobowych opartych na prawie UE, tj. RODO i dyrektywie 2016/680. W okresie przejściowym Wielka Brytania nie będzie mogła również korzystać ze swoich kompetencji w zakresie międzynarodowych transferów danych.

Stanowiska organów nadzorczych w związku z Brexitem

W związku z Brexitem organy nadzorcze w różnych państwach wydały własne stanowiska, nie wprowadzają one jednak żadnych innych warunków transferu danych niż te, które wynikają wprost z TCA. Swoje stanowiska upubliczniły m.in. następujące organy nadzorcze:

  1. Prezes UODO.
  2. Brytyjski organ nadzorczy (ICO).
  3. Konferencja Niezależnych Organów Ochrony Danych Federacji i Krajów Związkowych (Datenschutzkonferenz).
  4. Francuski organ nadzorczy (CNIL).
  5. Organ nadzorczy dla kraju związkowego Nadrenia-Palatynat (LfDI Rhineland-Palatinate).
  6. Islandzki organ nadzorczy.
  7. Irlandzki organ nadzorczy (DPC).
  8. Duński organ nadzorczy.

Źródło:

https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:22020A1231(01)&from=EN

https://uodo.gov.pl/pl/138/1810

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.