Brexit: co dalej z przepływami danych osobowych?
Jeśli porozumienie ws. Brexitu zostanie przyjęte przez parlament brytyjski, 29 marca 2019 r., będzie ostatnim dniem Wielkiej Brytanii w UE. 30 marca 2019 r., z kolei rozpocznie się okres przejściowy (inaczej zwany okresem implementacji), który ma na celu usprawnienie procesu wyjścia Wielkiej Brytanii z Unii Europejskiej, zapewniając jednocześnie minimalizację zakłóceń z tym związanych. Okres przejściowy ma potrwać do 31 grudnia 2020 roku (z możliwością ewentualnego przedłużenia na wniosek strony brytyjskiej). Wobec niepewności co do dalszych losów porozumienia ws. Brexitu, mamy do czynienia z kilkoma scenariuszami kształtowania się zasad przepływów danych osobowych pomiędzy UE a Wielką Brytanią. Uwagę należy również zwrócić na podpisaną także 25 listopada 2018 r., deklarację polityczną określającą ramy przyszłych stosunków między Unią Europejską a Wielką Brytanią. Jest ona istotna z punktu widzenia ewolucji stanowiska Komisji Europejskiej co do momentu rozpoczęcia oceny standardów ochrony danych osobowych w Wielkiej Brytanii oraz uznania jej za zapewniającą adekwatny stopień ochrony danych wraz z upływem okresu przejściowego Brexitu.
Okres przejściowy – czego możemy się spodziewać
Dotychczasowe stanowisko Komisji Europejskiej w zakresie uznania UK za zapewniającą adekwatny stopień ochrony danych osobowych zakładało, że proces ten nie może być rozpoczęty przed uznaniem UK za państwo trzecie w rozumieniu RODO. Tymczasem w deklaracji, o której wspomniano wyżej, widać znaczące ustępstwo po stronie KE, gdyż ukończenie oceny adekwatności stopnia ochrony danych osobowych w UK przed końcowym terminem okresu przejściowego korzystnie wpłynie na płynność transferu danych osobowych pomiędzy UE a Wielką Brytanią oraz na pewność obrotu gospodarczego (o ile ocena KE będzie pozytywna, chociaż dotychczasowy dorobek Wielkiej Brytanii w zakresie ochrony danych osobowych oraz praktyka brytyjskiego organu nadzorczego nie wskazują na to, by miało być inaczej).
Jak naprawdę mają się sprawy ze wskazanym okresem przejściowym?
Pierwotnie określony na 21 miesięcy (od 30 marca 2019 do 31 grudnia 2020 roku), może zostać wydłużony – obie strony negocjacji już zadeklarowały prawdopodobieństwo skorzystania z tej możliwości. Bez względu na to czy okres ten potrwa do końca roku 2020, czy też zostanie przedłużony o kolejne miesiące, pewnym jest, że podczas okresu przejściowego w Wielkiej Brytanii nadal obowiązywać będą przepisy RODO oraz pozostałe akty prawne UE dotyczące danych osobowych. To daje poczucie względnego spokoju do czasu upływu okresu przejściowego. Punkt pierwszy może jednak nie mieć zastosowania jeśli porozumienie ws. Brexitu ostatecznie nie zostanie przyjęte, a wraz z porozumieniem przepadnie koncepcja okresu przejściowego. Co wtedy? Scenariusze znajdują się poniżej.
Co po okresie przejściowym?
Po zakończeniu okresu przejściowego przewiduje się dwa podejścia znajdujące się w porozumieniu ws. Brexitu. Pierwsze przewidziane w art. 71 ust. 1 porozumienia wskazuje, że unijne prawo o ochronie danych osobowych będzie nadal obowiązywało w odniesieniu do osób przebywających poza Wielką Brytanią, których dane osobowe były już przetwarzane w Wielkiej Brytanii przed końcem okresu przejściowego. To samo prawo będzie miało również zastosowanie do przetwarzania danych osobowych podejmowanych po upływie okresu przejściowego, na podstawie przepisów porozumienia o wystąpieniu Wielkiej Brytanii z Unii Europejskiej.
Podejście drugie zakłada uznanie Wielkiej Brytanii za zapewniającą adekwatny stopień ochrony danych osobowych na mocy decyzji Komisji Europejskiej. Wskutek takiej decyzji transfer danych osobowych do Wielkiej Brytanii jest możliwy bez podejmowania dodatkowych zabiegów, przy czym należy pamiętać, że decyzja o adekwatności stopnia ochrony danych osobowych zawsze określa, zgodnie z art. 45 ust. 3 RODO, terytorialny i sektorowy zakres jej zastosowania. W takim przypadku Wielka Brytania nie będzie już podlegać bezpośrednio przepisom prawa Unii Europejskiej w zakresie ochrony danych, ale może zamiast tego stosować własne prawa (i wprowadzać do nich zmiany), o ile przepisy te nadal będą spełniać wymogi adekwatności.
Swoboda w kształtowaniu przez Wielką Brytanię przepisów prawa z zakresu danych osobowych może być jednakże zdecydowanie ograniczona, o ile dojdzie do przyjęcia porozumienia ws. Brexitu przez parlament brytyjski. Wielka Brytania zobowiązuje się bowiem do zapewnienia poziomu ochrony danych osobowych „zasadniczo równoważnego” do tego, z jakim mamy do czynienia w UE. Konsekwencje? Nie dość, że własna inicjatywa ustawodawcza Wielkiej Brytanii będzie zdecydowanie ograniczona, to również koniecznym będzie dotrzymanie kroku zmianom legislacyjnym w UE.
A jeśli do porozumienia ws. Brexitu ostatecznie nie dojdzie…?
Z uwagi na dynamiczny rozwój sytuacji politycznej w Wielkiej Brytanii, zatwierdzenie porozumienia ws. Brexitu wcale nie jest do końca pewne. Brak osiągnięcia porozumienia oznacza, że Wielka Brytania już za nieco ponad 4 miesiące może zostać uznana za państwo trzecie w rozumieniu przepisów RODO. Jeśli tak się stanie, od tego momentu każdy przepływ danych osobowych do Wielkiej Brytanii będzie podlegał przepisom rozdziału V RODO.
(Awaryjne) plany działania
Niepewny stan prawny kontra ciągłość biznesowa i niezakłócony transfer danych osobowych – któż tego nie doświadczył w dobie transformacji wywołanej uchwaleniem RODO? I gdyby tego było mało, większą część uwagi pod tym kątem wymagają możliwe warianty wyjścia Wielkiej Brytanii z UE. Podmioty wykorzystujące w swej działalności tzw. „cross-border data processing” pomiędzy UE a Wielką Brytanią, jeśli dotychczas nie wdrożyły odpowiednich planów wobec różnych scenariuszy Brexitu, powinny rozważyć opracowanie i stosowanie odpowiednich planów działania czy dalej idąc – planów awaryjnych. Wśród nich powinny znaleźć się również standardowe klauzule umowne jako jeden z mechanizmów legalizujących transfer danych osobowych do państwa trzeciego.
Źródło: Maciej Kawiorski, Kancelaria Maruta Wachta