Brexit

Od 31 stycznia 2020 r. Wielka Brytania nie jest już członkiem Unii Europejskiej, natomiast 30 czerwca 2021 r. minął tzw. okres przejściowy, podczas którego przekazywanie danych z państw członkowskich do Wielkiej Brytanii odbywało się na przepisach sprzed Brexitu. Zmianie uległy wtedy jedynie zasady obecności organu nadzorczego Wielkiej Brytanii (ICO) w Europejskiej Radzie Ochrony Danych oraz współpracy ICO i organów nadzorczych krajów Unii, w tym Prezesa Urzędu Ochrony Danych Osobowych.

Komisja Europejska formalnie potwierdziła, że Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej zapewnia odpowiedni poziom ochrony danych osobowych.

28 czerwca 2021 r. Komisja Europejska przyjęła dwie decyzje wykonawcze stwierdzające odpowiedni poziom ochrony danych osobowych w Wielkiej Brytanii:

• pierwsza o sygn. C(2021) 4800 final, została wydana na podstawie rozporządzenia (UE) 2016/679 (RODO);
• druga o sygn. C(2021) 4801 final, wydano na podstawie dyrektywy (UE) 2016/680.

Skutki decyzji wykonawczych KE dla transferów danych do Zjednoczonego Królestwa

Uznanie przez KE określonego państwa trzeciego, w tym wypadku Wielkiej Brytanii, za zapewniające odpowiedni poziom ochrony danych osobowych umożliwia swobodne przekazywanie takich danych z Europejskiego Obszaru Gospodarczego (27 państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia) bez konieczności uzyskiwania dodatkowych zezwoleń lub wdrożenia dodatkowych zabezpieczeń przewidzianych w rozdziale V RODO, które są wymagane, jeżeli państwo trzecie takiej ochrony nie zapewnia.

Podobnie będą oceniane transfery danych do Zjednoczonego Królestwa na podstawie przepisów rozdziału 3a ustawy z 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich UE, państw trzecich, agencjami UE oraz organizacjami międzynarodowymi, który wdraża w polskim porządku prawnym rozdział V dyrektywy (UE) 2016/680.

Możliwość swobodnego przekazywania danych do Wielkiej Brytanii nie wyłącza konieczności zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych.

Okres obowiązywania decyzji wykonawczych KE

Obie decyzje weszły w życie 28 czerwca 2021 r. i zostały wydane na czas określony wynoszący cztery lata. Oznacza to, że będą obowiązywały do 27 czerwca 2025 r. Jeżeli w tym czasie Zjednoczone Królestwo będzie nadal zapewniać odpowiedni poziom ochrony danych osobowych, Komisja Europejska może przedłużyć obowiązywanie tych decyzji.

Ograniczenia zakresu stosowania decyzji wykonawczej C(2021) 4800 final na podstawie RODO

Przekazywanie danych do celów kontroli imigracyjnej w Zjednoczonym Królestwie jest wyłączone z zakresu przedmiotowego decyzji wykonawczej KE C(2021) 4800 final, ze względu na ograniczenie stosowania w tym zakresie brytyjskich przepisów o ochronie danych osobowych.

Przekazywanie danych osobowych przed wydaniem decyzji wykonawczych KE

Zgodnie z tzw. klauzulą pomostową zawartą w postanowieniach końcowych Umowy o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej, która reguluje obecne relacje między UE i Wielką Brytanią od 1 stycznia do maksymalnie 30 czerwca 2021 r. przekazywanie danych z EOG do Zjednoczonego Królestwa nie było traktowane jako przekazywanie danych do państw trzecich.

Działania wymagane od administratorów w związku z przekazywaniem danych osobowych do Zjednoczonego Królestwa

W związku z tym, że przekazywanie danych osobowych do Zjednoczonego Królestwa oznacza przekazywanie danych osobowych do państwa trzeciego, administratorzy w takiej sytuacji powinni w szczególności odpowiednio zmodyfikować stosowane klauzule informacyjne oraz dokumentację przetwarzania danych osobowych.