Od 1 stycznia 2021 r. swobodny przepływ danych między Europejskim Obszarem Gospodarczym (27 państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia) a Zjednoczonym Królestwem zostanie utrzymany maksymalnie do 1 lipca 2021 r. Przewiduje to tzw. klauzula pomostowa zawarta w postanowieniach końcowych Umowy o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej, która będzie regulowała przyszłe relacje między UE i Zjednoczonym Królestwem.
Zgodnie z art. FINPROV 10A Umowy, który określa przepisy przejściowe dotyczące przekazywania danych osobowych do Zjednoczonego Królestwa, takie transfery tymczasowo nie będą traktowane jako przekazywanie danych do państwa trzeciego. Tym samym nadal od przedsiębiorców lub podmiotów publicznych nie będzie wymagane spełnienie dodatkowych wymogów określonych w rozdziale V RODO. Dotyczy to również dodatkowych wymogów dotyczących międzynarodowych transferów danych określonych w rozdziale 3a ustawy z 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, państw trzecich, agencjami Unii Europejskiej oraz organizacjami międzynarodowymi, który wdraża w polskim porządku prawnym rozdział V dyrektywy (UE) 2016/680.
Czas trwania okresu przejściowego
Okres przejściowy zakończy się najpóźniej 1 lipca 2021 r., czyli po upływie sześciu miesięcy od 1 stycznia 2021 r.. Umowa co prawda przewiduje okres czterech miesięcy, ale automatycznie zostanie on przedłużony o kolejne dwa, chyba że jedna ze stron Umowy się temu sprzeciwi. Okres przejściowy może się również zakończyć wcześniej, gdy Komisja Europejska na mocy art. 36 ust. 3 dyrektywy (UE) 2016/680 i na mocy art. 45 ust. 3 RODO wyda decyzje wykonawcze w sprawie odpowiedniego poziomu ochrony danych w odniesieniu do Zjednoczonego Królestwa.
Przekazywanie danych po zakończeniu okresu przejściowego
Komisja Europejska w Deklaracji dotyczącej przyjęcia decyzji w sprawie odpowiedniego poziomu ochrony w odniesieniu do Zjednoczonego Królestwa zadeklarowała chęć szybkiego rozpoczęcia formalnej procedury w tym zakresie. Przed wydaniem takich decyzji wymagane będzie dokonanie oceny brytyjskiego prawa ochrony danych osobowych i praktyki jego stosowania w świetle orzecznictwa Trybunału Sprawiedliwości UE. Przekazywanie danych na podstawie decyzji Komisji Europejskiej będzie możliwe bez konieczności spełnienia dodatkowych warunków. Jeżeli jednak Komisja Europejska nie wydałaby w tym czasie decyzji w sprawie odpowiedniego poziomu ochrony, przekazywanie danych do Zjednoczonego Królestwa po upływie okresu przejściowego wymagałoby przede wszystkim zastosowania zabezpieczeń określonych w art. 46 RODO (np. standardowych klauzul umownych czy wiążących reguł korporacyjnych) .
Warunki swobodnego przepływu danych w okresie przejściowym
Swobodny przepływ danych w okresie przejściowym będzie uzależniony od zachowania przez Zjednoczone Królestwo obowiązujących 31 grudnia 2020 r. przepisów o ochronie danych osobowych opartych na prawie UE, tj. RODO i dyrektywie (UE) 2016/680. Zjednoczone Królestwo w okresie przejściowym nie będzie mogło korzystać ze swoich kompetencji w zakresie międzynarodowych transferów danych.
Urząd Rzecznika ds. Informacji (ICO) nie będzie już uczestniczył w mechanizmie kompleksowej współpracy
Od 1 stycznia 2021 r. mechanizm kompleksowej współpracy (OSS) w odniesieniu do transgranicznego przetwarzania danych nie będzie już miał zastosowania do Zjednoczonego Królestwa, w związku z czym Urząd Rzecznika ds. Informacji (ICO) nie będzie już w nim uczestniczył.
Tryb przyjęcia Umowy, wejście w życie i tymczasowe stosowanie
Negocjacje nad Umową zakończyły się 24 grudnia, czyli tuż przed upływem dotychczasowego okresu przejściowego. 29 grudnia Rada UE podjęła decyzję o podpisaniu Umowy i jej tymczasowym stosowaniu. Formalne podpisanie Umowy przez obie strony nastąpiło 30 grudnia. Jej wejście w życie będzie uzależnione od spełnienia dalszych wymogów proceduralnych, w tym zgody Parlamentu Europejskiego, która może zostać wyrażona na początku 2021 r. Dlatego planowane jest tymczasowe stosowanie umowy od 1 stycznia 2021 r., co nie będzie jednak mogło trwać dłużej niż do 28 lutego 2021 r.
Urząd Ochrony Danych Osobowych będzie monitorował przebieg toczących się prac i w razie potrzeby aktualizował przekazane informacje.
Bieżące informacje są publikowane przez Komisję Europejską na stronie internetowej: https://ec.europa.eu/info/european-union-and-united-kingdom-forging-new-partnership/future-partnership/draft-eu-uk-trade-and-cooperation-agreement_en
Informacja o podjęciu decyzji przez Radę UE:
https://www.consilium.europa.eu/en/press/press-releases/2020/12/29/eu-uk-trade-and-cooperation-agreement-council-adopts-decision-on-the-signing/
Oświadczenie Europejskiej Rady Ochrony Danych opublikowane jeszcze przed zakończeniem negocjacji: https://uodo.gov.pl/pl/138/1793
Oficjalne dokumenty dotyczące Berexitu, w tym teksty umowy (wersja polska nie jest ostateczna): https://eur-lex.europa.eu/content/news/Brexit-UK-withdrawal-from-the-eu.html
Sytuacja przedsiębiorców, którzy przetwarzają dane polskich obywateli świadcząc im swoje usługi z terytorium Zjednoczonego Królestwa
Od 1 stycznia 2021 r. do takich przedsiębiorców będzie się bezpośrednio stosować RODO. RODO ma bowiem zastosowanie także do przetwarzania danych dotyczących osób przebywających w UE przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności te wiążą się z:
- oferowaniem towarów lub usług takim osobom znajdującym się w UE – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
- monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w UE.
Tacy przedsiębiorcy muszą wyznaczyć na piśmie swojego przedstawiciela w UE w tym państwie członkowskim, w którym przebywają osoby, których dane osobowe są przetwarzane w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane.
Przedsiębiorcy nie muszą wyznaczać swojego przedstawiciela jeżeli prowadzone przez nich operacje przetwarzania, mają charakter sporadyczny, nie obejmują – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych.
Źródło: https://uodo.gov.pl/pl/138/1810