Jak będzie wyglądało przetwarzanie danych do Wielkiej Brytanii po dniu 31 lipca 2021?

Na tą chwilę ciężko przewidzieć, jakie dalsze decyzje zapadną w tej materii. Jednym ze scenariuszy wydaje się, że najbardziej optymistyczne dla przedsiębiorców dotkniętych omawianym problemem, byłoby wydanie decyzji przez Komisję Europejską, na mocy której zostanie przyznane, iż Wielka Brytania jest państwem gwarantującym odpowiedni stopień ochrony przetwarzania danych. W takim przypadku przetwarzanie nie wymagałoby specjalnego zezwolenia. To ostatnie oczywiście przy założeniu, że wydana decyzja objęłaby swoim zakresem całe terytorium Zjednoczonego Królestwa oraz każdy rodzaj transferu danych. Na przykład przed orzeczeniem TSUE w sprawie C-311/18 – Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi (tzw. Shrems II) – przekazywać dane do USA bez spełnienia dodatkowych wymogów mogły tylko amerykańskie podmioty, które zobowiązały się do przestrzegania ustalonych zasad w ramach programu „Tarcza Prywatności UE-USA” (Privacy Shiled). W przypadku wydania więc decyzji przez Komisję Europejską wysoce zalecane jest, aby każdy podmiot, który przetwarza dane do Wielkiej Brytanii, szczegółowo zapoznał się z całością dokumentu w celu zyskania pewności, że dokonywany przez niego transfer nie podlega  wyłączeniu, a tym samym czy nie będzie konieczne wdrożenie procedur przewidzianych w rozdziale V RODO (przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych).

Natomiast jeżeli Komisja Europejska stwierdzi, iż Królestwo Wielkiej Brytanii i Irlandii Północnej nie daje gwarancji odpowiedniego poziomu ochrony danych osobowych – administrator oraz podmiot przetwarzający zgodnie z art. 46 RODO będą zobligowani do wprowadzenia szeregu zabezpieczeń zapewniających ochronę przekazywanych danych (za pomocą np. wiążących reguł korporacyjnych lub standardowych klauzul ochrony danych) przy jednoczesnym uwzględnieniu obowiązujących środków ochrony prawnej oraz  egzekwowalności praw osób, których dane dotyczą. Przepisy RODO przewidują również, iż w przypadku braku decyzji Komisji Europejskiej we wskazanym zakresie lub braku odpowiednich zabezpieczeń określonych w art. 46 przetwarzanie będzie mogło odbywać się na podstawie jednego z wyjątków przewidzianych w art. 49, tj. pod warunkiem, że:

  • osoba, której dane dotyczą została poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie oraz wyraźnie wyraziła na nie zgodę;
  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem, lub do wprowadzenia w życie środków przedumownych, podejmowanych na żądanie osoby, której dane dotyczą;
  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli, i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Jak słusznie jednak przypomina Europejska Rada Ochrony Danych Osobowych w swoim oświadczeniu z dnia 15 grudnia 2020 r., dotyczącym końca okresu przejściowego, wskazany powyżej artykuł ma szczególny charakter, a zawarte w nim odstępstwa powinny być interpretowane zawężająco i co do zasady w odniesieniu do czynności przetwarzania, które występują sporadycznie.

 

Jak się przygotować na nadchodzące zmiany?

Wydaje się zatem, iż najrozsądniejszym rozwiązaniem dla podmiotów przekazujących dane osobowe do Wielkiej Brytanii byłoby przyjęcie, iż po zakończeniu okresu przejściowego będą zobligowane do spełnienia dodatkowych wymogów określonych w Rozporządzeniu 2016/679. Co prawda w komunikacie Urzędu Ochrony Danych Osobowych (UODO) z dnia 30.12.2020 r. wskazano, iż Komisja Europejska zadeklarowała chęć niezwłocznego rozpoczęcia formalnej procedury w zakresie oceny poziomu ochrony danych osobowych w stosunku do Zjednoczonego Królestwa. Jednak administratorzy i podmioty przetwarzające przekazujące dane do  Wielkiej Brytanii, powinny być w tym przypadku gotowe na każdą ewentualność, w tym również na możliwość, iż Komisja nie wyda w odpowiednim czasie właściwej decyzji.