Brexit – jak dane osobowe będą przekazywane do Wielkiej Brytanii

Większość głosujących (tj. 51,89%) w przeprowadzonym 23 czerwca 2016 r. w Wielkiej Brytanii, właściwie: Zjednoczonym Królestwie Wielkiej Brytanii i Irlandii Północnej (dalej: Zjednoczonym Królestwie), referendum opowiedziała się za opuszczeniem przez ich kraj Unii Europejskiej (UE) . Wprawdzie zgodnie z jedną z naczelnych zasad konstytucyjnych Zjednoczonego Królestwa, tj. zasadą suwerenności parlamentu, ostateczny głos w sprawie wyjścia Królestwa z Unii ma parlament, to jednak politycy partii rządzącej uznają polityczną wagę decyzji podjętej w referendum i zapowiadają, że ją zrealizują.

Ramy prawne, które określają proces wyjścia z Unii Europejskiej, zostały przyjęte w Traktacie Lizbońskim. Zmienił on m.in. Traktat o Unii Europejskiej (dalej „TUE”). Zgodnie z art. 50 ust. 2 TUE państwo członkowskie, które podjęło decyzję o wystąpieniu, notyfikuje swój zamiar Radzie Europejskiej. Jak wynika z wytycznych Rady Europejskiej, Unia prowadzi negocjacje i zawiera z tym państwem umowę, która określa warunki jego wystąpienia, uwzględniając ramy jego przyszłych stosunków z Unią.

Zgodnie z art. 50 ust. 3 TUE traktaty przestają mieć zastosowanie do tego państwa od dnia wejścia w życie umowy o wystąpieniu lub, w przypadku jej braku, dwa lata po notyfikacji. Wyjątkiem jest sytuacja, gdy Rada Europejska w porozumieniu z danym państwem członkowskim podejmie jednomyślnie decyzję o przedłużeniu tego okresu.

Wyjście państwa członkowskiego z Unii Europejskiej jest wydarzeniem bez precedensu. Artykuł 50 TUE będzie w praktyce stosowany po raz pierwszy, a zatem opisane w tym artykule warianty opierają się w dużej mierze na przypuszczeniach autora. Negocjacje między Wielką Brytanią a UE mogą potrwać długo, dlatego  nie należy spodziewać się, aby umowa, o której mowa w art. 50 ust. 2 TUE, była zawarta przed upływem dwóch lat. Jeżeli przyjmiemy, że termin, o którym mowa w art. 50 ust. 3 TUE, nie zostanie przedłużony i traktaty przestaną obowiązywać po 2 latach, to mając na uwadze zapowiedzi premier May, momentem wyjścia Zjednoczonego Królestwa z UE będzie wiosna 2019 roku.

Od 25 maja 2018 r. zacznie być stosowane rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (rozporządzenie ogólne). Będzie więc ono dotyczyło Zjednoczonego Królestwa jeszcze przed jego wyjściem z UE. To, w jakim zakresie prawo unijne  (a więc również rozporządzenie ogólne) będzie negocjowane zgodnie z art. 50 ust. 2 TUE.

Decydujące argumenty zwolenników Brexitu związane były z niechęcią do jednej z podstawowych zasad zagwarantowanych w prawie unijnym, a mianowicie do zasady swobody przepływu osób. Jednocześnie Zjednoczone Królestwo pozostaje zdecydowanym entuzjastą pozostałych swobód (tj. swobody przepływu kapitału, towarów i usług).

Można zatem przyjąć dwa podstawowe warianty. Pierwszy (moim zdaniem znacznie bardziej prawdopodobny), „miękki” Brexit opiera się na pozostaniu Zjednoczonego Królestwa w Europejskim Obszarze Gospodarczym (EOG). Drugi z wariantów przewiduje „twardy” Brexit i opuszczenie przez Zjednoczone Królestwo jednolitego rynku . W takim przypadku europejskie prawo ochrony danych najprawdopodobniej również nie będzie stosowane w Zjednoczonym Królestwie.

W przypadku realizacji koncepcji „miękkiego” Brexitu i pozostania Zjednoczonego Królestwa w Europejskim Obszarze Gospodarczym, prawo europejskie (przynajmniej w części dotyczącej ochrony danych osobowych) będzie w Zjednoczonym Królestwie stosowane. Pozycję Zjednoczonego Królestwa można by wtedy porównać do pozycji Norwegii, która pozostając w EOG i korzystając z dobrodziejstw jednolitego rynku Unii Europejskiej, opłaca jednocześnie składki na rzecz unijnego Funduszu Spójności .

Nawet w przypadku wystąpienia z EOG Zjednoczone Królestwo, jako podmiot silnie powiązany gospodarczo z krajami członkowskimi UE, będzie starało się wynegocjować chociażby status podobny do tego, jaki ma Szwajcaria. „Kraj ten łączy z UE ponad 120 sektorowych traktatów dwustronnych, zawierających praktycznie te same przepisy jak w przypadku prawodawstwa przyjętego przez państwa EOG w zakresie swobody przepływu osób, towarów, usług i kapitału” .

Skutkiem „miękkiego” Brexitu w zakresie transferu danych osobowych do Zjednoczonego Królestwa będzie w dalszym ciągu stosowanie zasad przyjętych w rozporządzeniu ogólnym – nic się zatem nie zmieni. Zjednoczone Królestwo nie będzie uważane uznawane za państwo trzecie, a przekazywanie do niego danych osobowych nie będzie wymagało spełnienia warunków określonych w rozdziale V rozporządzenia ogólnego (przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych).

Przekazanie danych pomiędzy członkami EOG (w skład którego wchodzą również wszystkie państwa członkowskie UE) a Zjednoczonym Królestwem będzie zatem „przetwarzaniem” danych osobowych w rozumieniu art. 4 pkt 2 rozporządzenia ogólnego. Administrator danych będzie zatem musiał posiadać, podobnie jak ma to miejsce obecnie, podstawę przetwarzania danych osobowych, czyli spełnić jeden z warunków określonych w art. 6 rozporządzenia ogólnego.

Jedynie w przypadku przetwarzania danych w ramach korporacji, która ma jednostki organizacyjne w kilku państwach członkowskich (w przypadku „miękkiego” Brexitu dotyczyć to będzie również Zjednoczonego Królestwa) będziemy mieli do czynienia z „transgranicznym przetwarzaniem” (art. 4 pkt 23 ogólnego rozporządzenia). Transgraniczne przetwarzanie danych będzie miało znaczenie np. w postępowaniu przed organem nadzoru (w Polsce: Generalny Inspektor Ochrony Danych Osobowych).

Całkowicie odmienna sytuacja będzie miała miejsce w wariancie „twardego” Brexitu. W przypadku, gdy Zjednoczonemu Królestwu nie uda się wynegocjować dostępu do jednolitego rynku, a zastosowania nie znajdą europejskie rozwiązania w zakresie ochrony danych osobowych (tj. rozporządzenie ogólne), to Królestwo zostanie najprawdopodobniej uznane za państwo trzecie. Jego status będzie zbliżony np. do statusu Stanów Zjednoczonych.

W takim przypadku transfer danych osobowych do Zjednoczonego Królestwa, jako transfer danych do kraju trzeciego, będzie musiał zostać zalegalizowany (zgodnie z rozdziałem V rozporządzenia ogólnego). O ile bowiem Komisja Europejska nie wyda, stosownie do art. 25 rozporządzenia ogólnego, decyzji, w której stwierdzi, że Zjednoczone Królestwo, część jego terytorium lub określony sektor lub sektory gospodarki zapewniają odpowiedni stopień ochrony, to do przekazywania danych do Zjednoczonego Królestwa trzeba będzie uzyskać zezwolenie lub zapewnić odpowiednie zabezpieczenia.

Takie odpowiednie zabezpieczenia można będzie uzyskać poprzez stosowanie rozwiązań przewidzianych w art. 46 rozporządzenia ogólnego. Wśród nich znajdziemy znane nam na gruncie obecnej ustawy o ochronie danych osobowych rozwiązania, takie jak: zaakceptowane przez właściwy organ nadzorczy reguły korporacyjne, czy stosowanie standardowych klauzul umownych.