Z dniem 31 stycznia 2020 r. Wielka Brytania opuściła Unię Europejską po wielu miesiącach negocjacji na szczeblu europejskim oraz burzliwych przepychankach w parlamencie brytyjskim. Do końca 2020 r. obowiązuje okres przejściowy, w czasie którego Wielka Brytania stosować będzie prawo Unii Europejskiej na dotychczasowych zasadach, w tym m. in. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).
W tym czasie wynegocjowane powinny zostać umowy międzynarodowe pomiędzy Unią Europejską a Wielką Brytanią, co biorąc pod uwagę skomplikowany przebieg dotychczasowych rozmów, relatywnie krótki okres czasu oraz dużą liczbę spraw, które wymagają uzgodnień – wydaje się zadaniem co najmniej ambitnym. Niewykluczone jednak, że zostaną wypracowane rozwiązania, zwłaszcza że ochrona danych osobowych jest newralgiczna dla wielu branż, nie tylko informatycznej.
W najgorszym wypadku Wielka Brytania traktowana będzie jako państwo trzecie, a więc zastosowanie będzie mieć art. 45 ust. 1 RODO, zgodnie z którym:
Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.
A do czasu wydania przez Komisję Europejską decyzji – art. 46 ust. 1 RODO, zgodnie z którym:
W razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.
Jeżeli prawdopodobne będzie, że ziści się scenariusz tzw. twardego (tj. bezumownego) Brexitu powinniśmy stosować się do wytycznych UODO, wydanych wprawdzie w 2019 r., ale nadal aktualnych:
Każdy administrator danych lub podmiot przetwarzający, którzy obecnie przekazują dane do Wielkiej Brytanii, powinien:
- Zidentyfikować, jakie dane, w jakich celach i na jakiej podstawie prawnej są obecnie przekazywane do Wielkiej Brytanii;
- Zdecydować, czy te transfery będą kontynuowane po 31 grudnia 2020 r.;
- Wybrać i wdrożyć odpowiedni mechanizm, bądź podstawę prawną umożliwiającą przekazywanie danych;
- W razie potrzeby zmodyfikować:
- wewnętrzną dokumentację przetwarzania danych, w tym rejestr czynności przetwarzania,
- klauzule informacyjne,
- istniejące wiążące reguły korporacyjne;
- Śledzić informacje dotyczące przebiegu procesu wyjścia Wielkiej Brytanii z UE, gdyż nie jest jeszcze pewne na jakich zasadach to nastąpi, co może mieć wpływ na obowiązki związane z transferem danych.