Transgraniczne transfery danych osobowych z Unii Europejskiej do Wielkiej Brytanii

Komisja Europejska przyjęła 28 czerwca 2021 r. dwie decyzje stwierdzające adekwatny poziom ochrony danych osobowych w Zjednoczonym Królestwie Wielkiej Brytanii i Irlandii Północnej. Dane osobowe mogą obecnie w oparciu o powyższe decyzje w dalszym ciągu swobodnie przepływać z Unii Europejskiej (UE) do Zjednoczonego Królestwa, korzystając tam z poziomu ochrony równoważnego z poziomem gwarantowanym przez prawo UE.

Mimo wystąpienia z Unii Europejskiej system ochrony danych osobowych Zjednoczonego Królestwa aktualnie pozostaje bez istotnych zmian w stosunku do okresu członkostwa. Dlatego po dokładnej analizie prawa i praktyki UK Komisja uznała, że kraj ten zapewnia adekwatny poziom ochrony danym transferowanym z UE.

Aktualna pozostaje natomiast obawa o to, czy Zjednoczone Królestwo nie odejdzie w przyszłości od obecnego standardu ochrony danych osobowych. Decyzje Komisji w sprawie adekwatności odpowiadają na te obawy poprzez wbudowanie mechanizmów prawnych zabezpieczających na wypadek powstania rozbieżności w systemie ochrony danych osobowych w UK. Po raz pierwszy decyzje stwierdzające odpowiedni poziom ochrony danych osobowych zawierają tzw. klauzulę wygaśnięcia, która ściśle ogranicza czas ich obowiązywania do czterech lat. Po tym okresie ustalenia dotyczące odpowiedniego poziomu ochrony mogą zostać przedłużone, jednak tylko wtedy, gdy UK nadal będzie zapewniać odpowiedni poziom ochrony danych.

UK z chwilą zakończenia okresu przejściowego (tj. 31 grudnia 2020 r.) na mocy European Union (Withdrawal) Act 2018 włączyła do wewnętrznego porządku prawnego przeważającą większość prawa unijnego, w tym w Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (jako część tzw. retained EU law, zachowanego prawa europejskiego). Zachowane prawo europejskie stanowi zbiór przepisów powiązanych z Unią Europejską, a jego utworzenie miało na celu między innymi zapewnienia stabilizacji prawnej w obliczu wystąpienia Zjednoczonego Królestwa z UE. Obecny system ochrony danych osobowych w UK składa się z regulacji zawartych w Rozporządzeniu 2016/679, inkorporowanych w całości do systemy prawnego UK, oraz z Data Protection Act 2018. Oba dokumenty zostały zmienione w związku z wystąpieniem Wielkiej Brytanii z Unii Europejskiej zasadniczo jedynie w zakresie kwestii technicznych (jak przykładowo usunięcie odwołań do „Państwa Członkowskiego” i dostosowanie terminologii).

• Decyzja Komisji Europejskiej z 28 czerwca 2021 r. wydana na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679: https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_en.pdf
• Decyzja Komisji Europejskiej z 28 czerwca 2021 r. wydana na podstawie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680:  https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_law_enforcement_directive_en.pdf

Autorka: Magdalena Frąckowiak – adwokat w kancelarii LSW. Specjalizuje się w zagadnieniach dotyczących prawa gospodarczego, oraz międzynarodowego prawa gospodarczego, doradztwie transakcyjnym oraz sprawach finansowań i zabezpieczeń.