Czy Brexit wpływa na przetwarzanie danych osobowych?
2020-07-29
– Po długim okresie niepewności, z dniem 31 stycznia 2020 r. Wielka Brytania ostatecznie opuściła Unię Europejską. Czy poza licznymi skutkami w sferze ekonomicznej i prawnej Brexit wpływa także na zasady przetwarzania danych osobowych w relacjach państw członkowskich UE ze Zjednoczonym Królestwem? Czy przekazywanie danych osobowych do ojczyzny Szekspira podlega w związku z tym dodatkowym obostrzeniom? – pyta pan Jakub.
Podpisana 24 stycznia 2020 r. przez Unię Europejską i Wielką Brytanię umowa o wystąpieniu Wielkiej Brytanii z UE zakłada uporządkowane wyjście Brytyjczyków ze struktur unijnych. Z momentem opuszczenia UE rozpoczął się tzw. okres przejściowy, który potrwa do 31 grudnia 2020 r. W tym czasie Wielka Brytania, pomimo faktycznego opuszczenia Wspólnoty i nabycia statusu państwa trzeciego względem UE, nadal będzie stosowała unijne prawo. Celem wprowadzenia okresu przejściowego jest wypracowanie między brytyjskim rządem a Brukselą zasad współpracy i wzajemnych relacji między zainteresowanymi stronami. Należy pamiętać przy tym, że w umowie brexitowej zastrzeżono możliwość przedłużenia okresu przejściowego o rok albo dwa lata. Decyzję o tym, czy okres ten zostanie przedłużony i o ile, strony umowy mogły wspólnie podjąć najpóźniej do 30 czerwca 2020 r. Tak się nie stało.
Dla przetwarzania danych osobowych Brexit pozostaje zatem bez znaczenia co najmniej do końca 2020 r. W okresie przejściowym nadal zastosowanie znajdują przepisy ogólnego rozporządzenia o ochronie danych i zawarte w nich wymagania. Zakończenie okresu przejściowego spowoduje jednak, że Wielka Brytania realnie stanie się państwem trzecim, co pociągnie za sobą konieczność zastosowania przepisów rozdziału V RODO. Szczegóły dotyczące zasad wymiany danych osobowych między Zjednoczonym Królestwem a UE określi zapewne odrębna umowa międzynarodowa, niemniej jednak warto wskazać, że w świetle RODO przekazywanie danych do państwa trzeciego jest możliwe na podstawie:
– decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO);
– zapewnienia odpowiednich zabezpieczeń w postaci m.in. wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję Europejską lub organ nadzorczy czy zatwierdzonego kodeksu postępowania (art. 46);
– wyjątkowych okoliczności określonych w art. 49 RODO.
Odpowiedz ukazała się w dzienniku ,,Rzeczpospolita”