Brexit – jak dane osobowe będą przekazywane do Wielkiej Brytanii

Piotr  Janiszewski

Autor: Piotr Janiszewski

Dodano: 12 grudnia 2016
Brexit - co z przekazywaniem danych osobowych do Wielkiej Brytanii

Na jakich zasadach będzie można przekazywać dane osobowe do Wielkiej Brytanii, gdy dojdzie do Brexitu? To pytanie, od 23 czerwca 2016 r., kiedy obywatele tego państwa zdecydowali o opuszczeniu UE, zadaje sobie wiele firm. Możliwe są różne scenariusze. Zgodnie z jednym z nich Wielka Brytania stanie się państwem trzecim. Może też pozostać w Europejskim Obszarze Gospodarczym i będzie obowiązywało ją rozporządzenie ogólne.

Większość głosujących (tj. 51,89%) w przeprowadzonym 23 czerwca 2016 r. w Wielkiej Brytanii, właściwie: Zjednoczonym Królestwie Wielkiej Brytanii i Irlandii Północnej (dalej: Zjednoczonym Królestwie), referendum opowiedziała się za opuszczeniem przez ich kraj Unii Europejskiej (UE) . Wprawdzie zgodnie z jedną z naczelnych zasad konstytucyjnych Zjednoczonego Królestwa, tj. zasadą suwerenności parlamentu, ostateczny głos w sprawie wyjścia Królestwa z Unii ma parlament, to jednak politycy partii rządzącej uznają polityczną wagę decyzji podjętej w referendum i zapowiadają, że ją zrealizują.

Ramy prawne, które określają proces wyjścia z Unii Europejskiej, zostały przyjęte w Traktacie Lizbońskim. Zmienił on m.in. Traktat o Unii Europejskiej (dalej „TUE”). Zgodnie z art. 50 ust. 2 TUE państwo członkowskie, które podjęło decyzję o wystąpieniu, notyfikuje swój zamiar Radzie Europejskiej. Jak wynika z wytycznych Rady Europejskiej, Unia prowadzi negocjacje i zawiera z tym państwem umowę, która określa warunki jego wystąpienia, uwzględniając ramy jego przyszłych stosunków z Unią.

Zgodnie z art. 50 ust. 3 TUE traktaty przestają mieć zastosowanie do tego państwa od dnia wejścia w życie umowy o wystąpieniu lub, w przypadku jej braku, dwa lata po notyfikacji. Wyjątkiem jest sytuacja, gdy Rada Europejska w porozumieniu z danym państwem członkowskim podejmie jednomyślnie decyzję o przedłużeniu tego okresu.

Uwaga

Do rozpoczęcia procesu wyjścia Zjednoczonego Królestwa z UE (tj. Brexitu) niezbędna jest notyfikacja tego faktu. W październiku tego roku premier Zjednoczonego Królestwa Theresa May poinformowała, że przed końcem marca 2017 r. zamierza uruchomić procedurę art. 50 TUE (tj. dokonać ww. notyfikacji) .

Kiedy dojdzie do Brexitu

Wyjście państwa członkowskiego z Unii Europejskiej jest wydarzeniem bez precedensu. Artykuł 50 TUE będzie w praktyce stosowany po raz pierwszy, a zatem opisane w tym artykule warianty opierają się w dużej mierze na przypuszczeniach autora. Negocjacje między Wielką Brytanią a UE mogą potrwać długo, dlatego  nie należy spodziewać się, aby umowa, o której mowa w art. 50 ust. 2 TUE, była zawarta przed upływem dwóch lat. Jeżeli przyjmiemy, że termin, o którym mowa w art. 50 ust. 3 TUE, nie zostanie przedłużony i traktaty przestaną obowiązywać po 2 latach, to mając na uwadze zapowiedzi premier May, momentem wyjścia Zjednoczonego Królestwa z UE będzie wiosna 2019 roku.

Od 25 maja 2018 r. zacznie być stosowane rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (rozporządzenie ogólne). Będzie więc ono dotyczyło Zjednoczonego Królestwa jeszcze przed jego wyjściem z UE. To, w jakim zakresie prawo unijne  (a więc również rozporządzenie ogólne) będzie negocjowane zgodnie z art. 50 ust. 2 TUE.

Decydujące argumenty zwolenników Brexitu związane były z niechęcią do jednej z podstawowych zasad zagwarantowanych w prawie unijnym, a mianowicie do zasady swobody przepływu osób. Jednocześnie Zjednoczone Królestwo pozostaje zdecydowanym entuzjastą pozostałych swobód (tj. swobody przepływu kapitału, towarów i usług).

Uwaga

Swoboda przepływu danych jest najściślej związana ze swobodą świadczenia usług, a zatem można podejrzewać, że Zjednoczone Królestwo będzie chciało utrzymać standard wynikający z prawa europejskiego.

Można zatem przyjąć dwa podstawowe warianty. Pierwszy (moim zdaniem znacznie bardziej prawdopodobny), „miękki” Brexit opiera się na pozostaniu Zjednoczonego Królestwa w Europejskim Obszarze Gospodarczym (EOG). Drugi z wariantów przewiduje „twardy” Brexit i opuszczenie przez Zjednoczone Królestwo jednolitego rynku . W takim przypadku europejskie prawo ochrony danych najprawdopodobniej również nie będzie stosowane w Zjednoczonym Królestwie.

„Miękki” Brexit

W przypadku realizacji koncepcji „miękkiego” Brexitu i pozostania Zjednoczonego Królestwa w Europejskim Obszarze Gospodarczym, prawo europejskie (przynajmniej w części dotyczącej ochrony danych osobowych) będzie w Zjednoczonym Królestwie stosowane. Pozycję Zjednoczonego Królestwa można by wtedy porównać do pozycji Norwegii, która pozostając w EOG i korzystając z dobrodziejstw jednolitego rynku Unii Europejskiej, opłaca jednocześnie składki na rzecz unijnego Funduszu Spójności .

Nawet w przypadku wystąpienia z EOG Zjednoczone Królestwo, jako podmiot silnie powiązany gospodarczo z krajami członkowskimi UE, będzie starało się wynegocjować chociażby status podobny do tego, jaki ma Szwajcaria. „Kraj ten łączy z UE ponad 120 sektorowych traktatów dwustronnych, zawierających praktycznie te same przepisy jak w przypadku prawodawstwa przyjętego przez państwa EOG w zakresie swobody przepływu osób, towarów, usług i kapitału” .

Skutkiem „miękkiego” Brexitu w zakresie transferu danych osobowych do Zjednoczonego Królestwa będzie w dalszym ciągu stosowanie zasad przyjętych w rozporządzeniu ogólnym – nic się zatem nie zmieni. Zjednoczone Królestwo nie będzie uważane uznawane za państwo trzecie, a przekazywanie do niego danych osobowych nie będzie wymagało spełnienia warunków określonych w rozdziale V rozporządzenia ogólnego (przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych).

Przekazanie danych pomiędzy członkami EOG (w skład którego wchodzą również wszystkie państwa członkowskie UE) a Zjednoczonym Królestwem będzie zatem „przetwarzaniem” danych osobowych w rozumieniu art. 4 pkt 2 rozporządzenia ogólnego. Administrator danych będzie zatem musiał posiadać, podobnie jak ma to miejsce obecnie, podstawę przetwarzania danych osobowych, czyli spełnić jeden z warunków określonych w art. 6 rozporządzenia ogólnego.

Jedynie w przypadku przetwarzania danych w ramach korporacji, która ma jednostki organizacyjne w kilku państwach członkowskich (w przypadku „miękkiego” Brexitu dotyczyć to będzie również Zjednoczonego Królestwa) będziemy mieli do czynienia z „transgranicznym przetwarzaniem” (art. 4 pkt 23 ogólnego rozporządzenia). Transgraniczne przetwarzanie danych będzie miało znaczenie np. w postępowaniu przed organem nadzoru (w Polsce: Generalny Inspektor Ochrony Danych Osobowych).

„Twardy” Brexit

Całkowicie odmienna sytuacja będzie miała miejsce w wariancie „twardego” Brexitu. W przypadku, gdy Zjednoczonemu Królestwu nie uda się wynegocjować dostępu do jednolitego rynku, a zastosowania nie znajdą europejskie rozwiązania w zakresie ochrony danych osobowych (tj. rozporządzenie ogólne), to Królestwo zostanie najprawdopodobniej uznane za państwo trzecie. Jego status będzie zbliżony np. do statusu Stanów Zjednoczonych.

W takim przypadku transfer danych osobowych do Zjednoczonego Królestwa, jako transfer danych do kraju trzeciego, będzie musiał zostać zalegalizowany (zgodnie z rozdziałem V rozporządzenia ogólnego). O ile bowiem Komisja Europejska nie wyda, stosownie do art. 25 rozporządzenia ogólnego, decyzji, w której stwierdzi, że Zjednoczone Królestwo, część jego terytorium lub określony sektor lub sektory gospodarki zapewniają odpowiedni stopień ochrony, to do przekazywania danych do Zjednoczonego Królestwa trzeba będzie uzyskać zezwolenie lub zapewnić odpowiednie zabezpieczenia.

Takie odpowiednie zabezpieczenia można będzie uzyskać poprzez stosowanie rozwiązań przewidzianych w art. 46 rozporządzenia ogólnego. Wśród nich znajdziemy znane nam na gruncie obecnej ustawy o ochronie danych osobowych rozwiązania, takie jak: zaakceptowane przez właściwy organ nadzorczy reguły korporacyjne, czy stosowanie standardowych klauzul umownych.

Ważne:

Nowymi środkami przewidzianymi przez rozporządzenie ogólne, które będą legalizować transfer danych do kraju trzeciego, są m.in. standardowe klauzule ochrony danych przyjęte przez organ nadzorczy i zatwierdzone przez Komisję Europejską, zatwierdzone kodeksy postępowań, czy też zatwierdzone mechanizmy certyfikacji.

Piotr  Janiszewski

Autor: Piotr Janiszewski

radca prawny, prezes zarządu Auraco sp. z o.o. Audytem w obszarze ochrony danych osobowych zajmuje się od lat. Doświadczony Administrator Bezpieczeństwa Informacji i trener. Certyfikowany audytor wewnętrzny według normy ISO 27001. Uczestnik inspekcji oraz postępowań administracyjnych prowadzonych przez GIODO. Autor licznych artykułów i opracowań dotyczących tematyki ochrony danych osobowych. Ekspert w zakresie informacji publicznej i tajemnicy przedsiębiorstwa

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel