Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Jednym jest jednak śledzenie tego procesu z czystego zainteresowania, a czym innym trzymanie ręki na pulsie i oczekiwanie na zmiany, które brexit może przynieść dla przedsiębiorców. Szczególnie dla tej drugiej grupy przydatne może okazać się poniższe opracowanie, gdzie w pigułce prezentujemy najważniejsze z ostatnich wydarzeń na linii Wyspy – UE i przez pryzmat ochrony danych osobowych sygnalizujemy, co każdy przedsiębiorca powinien w związku z brexitem zweryfikować i jakie kroki podjąć, aby pobrexitowa rzeczywistość nie sparaliżowała przepływu danych przetwarzanych w ramach działalności gospodarczej.
Przegląd ostatnich wydarzeń – a jednak Wielka Brytania opuszcza Unię
Brexit nareszcie doszedł do skutku. Wielka Brytania opuściła UE 31 stycznia 2020 r. Nie było jednak łatwo do tego doprowadzić. Od wspomnianego referendum, w którym zwolennicy wyjścia z UE zdobyli zaledwie 51,89% głosów, przez bardzo trudne negocjacje na poziomie europejskim, nagłe wątpliwości i przejawy bardziej prounijnych nastrojów mieszkańców Wysp, nieudolność brytyjskiego parlamentu w przedmiocie przyjęcia ostatecznego kształtu porozumienia ws. brexitu, aż po wcześniejsze wybory parlamentarne, w których triumfy święciła partia konserwatystów z Borisem Johnsonem na czele nowo utworzonego rządu.
Główny problem skupiał się wokół kształtu porozumienia pomiędzy Brukselą a Londynem, które miało znaleźć odzwierciedlenie w ustawie regulującej proces wyjścia Wielkiej Brytanii z Unii Europejskiej (nazywanej w skrócie „WAB”, ang. Withdrawal Agreement Bill). Przypomnijmy, że po wielu miesiącach negocjacji, pierwotnym terminem wyjścia Wielkiej Brytanii z UE miał być 29 marca 2019 r., jednak z uwagi na brak poparcia treści wynegocjowanej umowy przez Izbę Gmin, termin ten został przesunięty na 31 października 2019. Kolejne miesiące pozwoliły na wznowienie rozmów i ustalenie kolejnego, nowego porozumienia, co do którego również nie udało się uzyskać poparcia brytyjskiego parlamentu.
Wyjścia z tej patowej sytuacji premier Boris Johnson miał tak naprawdę dwa: albo skupić się na ustawie regulującej wyjście Wielkiej Brytanii z UE zgodnie z porozumieniem z połowy października 2019 r. i doprowadzić ją do możliwego do zaakceptowania przez większość parlamentarną kształtu, albo postawić na przedterminowe wybory, które z jednej strony mogły zapewnić jednej z partii (z nadzieją, że będzie to Partia Konserwatywna) zdecydowaną większość, a z drugiej – doprowadzić do rozdrobnienia parlamentu w taki sposób, że żadna partia nie miałaby zdecydowanej większości. Jakkolwiek ryzykowna by się nie wydawała druga z opcji, to właśnie na nią postawił Johnson i… nie przeliczył się. To właśnie Konserwatyści wygrali wybory, a Johnson stanął na czele nowo utworzonego rządu, przy czym wynik 43,6% poparcia, który uzyskała jego partia jest uznawany za najlepszy wynik konserwatystów od czasów Margaret Thatcher.
Nowy układ sił w brytyjskim parlamencie (czyli komfortowa większość, jaką konserwatyści uzyskali w Izbie Gmin w postaci 365 mandatów na 650 miejsc) zapewnił, że wskazywany (już trzeci z kolei) ostateczny termin opuszczenia Unii Europejskiej przez Wielką Brytanię z dniem 31 stycznia 2020 r. tym razem został dochowany. Jednak co to oznacza w praktyce? Czy fakt, że Wielka Brytania przestała być członkiem UE z dnia na dzień odwróci do góry nogami zasady przekazywania danych osobowych na linii UE – Londyn?
Jak wygląda rzeczywistość po 31 stycznia?
Trzeba pamiętać, że porozumienie wyjściowe porządkuje rozstanie tylko tymczasowo, a dokładnie do końca roku 2020 (przy czym ustawa WAB przewiduje, że okres ten nie może zostać wydłużony). Kluczowym jest zatem, jak będą wyglądały wzajemne relacje w przyszłości. Głównym punktem dalszych negocjacji są ustalenia dotyczące chociażby wymiany towarów i usług, kwestii bezpieczeństwa, polityki migracyjnej czy ochrony danych osobowych, które na tę chwilę reguluje porozumienia wyjściowe, ale z końcem grudnia przyszłego roku – o ile nie zostanie ono zastąpione przez odpowiednie umowy szczegółowo te kwestie regulujące – wisi nad nami widmo tzw. twardego (bezumownego) brexitu. Według ekspertów wynegocjowanie takich umów to proces, który trwa latami, a który Boris Johnson zamierza przeprowadzić w zaledwie… 11 miesięcy. z kolei ewentualny brak takich umów z punktu widzenia wzajemnej współpracy oznacza w praktyce to samo, co brexit bez porozumienia.
Jak przetwarzać dane w trakcie okresu przejściowego?
Wracając jednak do danych osobowych: kluczowe z punktu widzenia podmiotów, które przetwarzają dane w ramach współpracy z brytyjskimi podmiotami, jest ustalenie, czy w okresie przejściowym ogólne rozporządzenie o ochronie danych (RODO) dalej będzie regulować przepływ danych.
Odpowiedź brzmi: tak. Zgodnie z art. 71 umowy o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej „Prawo Unii dotyczące ochrony danych osobowych ma zastosowanie do Zjednoczonego Królestwa w odniesieniu do przetwarzania danych osobowych osób, których dane dotyczą, spoza Zjednoczonego Królestwa, jeśli dane osobowe były przetwarzane zgodnie z prawem Unii w Zjednoczonym Królestwie przed zakończeniem okresu przejściowego” (tj. przed 31 grudnia 2020 r.).
Z kolei z punktu widzenia członkostwa Zjednoczonego Królestwa w Europejskim Obszarze Gospodarczym (EOG) kluczowe znaczenie ma decyzja Rady UE 2019/274 z dnia 11 stycznia 2019 r. w sprawie podpisania, w imieniu Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej, Umowy o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej (zmienionej następnie decyzją Rady UE 2019/1750 z dnia 21 października 2019 r.). W motywie (7) decyzji czytamy, że „Umowa (o wystąpieniu z UE – przyp. red.) przewiduje okres przejściowy, w którym - niezależnie od wszystkich konsekwencji wystąpienia Zjednoczonego Królestwa z Unii w odniesieniu do udziału Zjednoczonego Królestwa w instytucjach, organach i jednostkach organizacyjnych Unii – prawo Unii, w tym umowy międzynarodowe, będzie miało zastosowanie do Zjednoczonego Królestwa i w Zjednoczonym Królestwie. (…) w okresie przejściowym Zjednoczone Królestwo traktuje się jak państwo członkowskie na użytek takich umów międzynarodowych”.
Przypomnijmy, że kraje UE oraz EOG, w których obowiązuje jednolite prawo ochrony danych osobowych, transferują dane między sobą bez konieczności uwzględniania granic państwowych. Wyjście Wielkiej Brytanii z UE automatycznie czyniłoby ją państwem trzecim w rozumieniu RODO. Natomiast w świetle przytoczonych powyżej postanowień poczynionych w związku z porozumieniem pomiędzy Londynem a Brukselą ten scenariusz w okresie przejściowym się nie ziści, w związku z czym w okresie pomiędzy 31 stycznia a 31 grudnia 2020 r. nie dojdzie do zmiany stosunków pomiędzy państwami członkowskimi UE i EOG w zakresie przekazywania danych do lub z Wielkiej Brytanii.
Na jakie scenariusze mamy przygotowywać się po okresie przejściowym?
Czy powyższe oznacza, że przedsiębiorcy nie muszą dostosowywać się do żadnej nowej rzeczywistości? Nie do końca, ponieważ to, co się stanie po 31 grudnia b.r. jest dalej wielką niewiadomą. Wszystko zależy od kształtu uzgodnień, które mają powstać podczas okresu przejściowego.
Choć mało prawdopodobne, to niewykluczone, że Wielka Brytania pozostanie w EOG. Wówczas utrzymałaby dostęp do unijnego rynku towarów, usług i kapitału, ale jednocześnie musiałaby zaakceptować swobodny przepływ osób jako jeden z czterech filarów EOG, co w świetle napływu imigrantów jako jednego z głównych powodów brexitu może być dla Londynu co najmniej problematyczne. z punktu widzenia ochrony danych osobowych ten wariant byłby najbardziej korzystny dla podmiotów w jakichkolwiek sposób powiązanych z Wyspami, ponieważ co do zasady nie wpłynąłby na charakter przetwarzania danych osobowych przez kraje członkowskie UE w związku ze współpracą z Londynem.
Drugi z możliwych scenariuszy dotyczy przyjęcia modelu podobnego do relacji UE ze Szwajcarią, polegający na szeregu dwustronnych umów, które miałyby regulować każdą kwestię osobno. To rozwiązanie z kolei jest oceniane przez ekspertów na bardziej niż czasochłonne, a sam proces negocjacji takich umów jest szacowany na lata, a kwestia uregulowania przepływu danych osobowych zależałaby od ustaleń obu stron.
Trzeci scenariusz to brexit bezumowny, który wbrew temu, co by się mogło wydawać w związku z porozumieniem między Wielką Brytanią a UE wypracowanym w połowie października 2019 r., dalej jest realny, tyle że nie z dniem wyjścia Wielkiej Brytanii z UE, a z dniem upływu okresu przejściowego. Wówczas Wielka Brytania stałaby się „państwem trzecim” w rozumieniu RODO i tym samym zostałaby zrównana w tym względzie z chociażby Kambodżą czy Peru, co z dnia na dzień obwarowałoby transfer danych do Wielkiej Brytanii dodatkowymi, często bardzo problematycznymi warunkami, które musieliby spełnić administratorzy danych i podmioty przetwarzające.
Jak przygotować się na bezumowny brexit?
Bezpłatna wiedza o RODO.
Korzystaj do woli!
Oprócz zapewnienia podstawy legalizującej samo przekazywanie danych, po stronie administratorów danych leżałaby też odpowiednia modyfikacja przygotowanej przez nich dokumentacji ochrony danych osobowych, w szczególności w zakresie klauzul informacyjnych i rejestrów czynności przetwarzania. Oznaczałoby to znaczne utrudnienie (w tym z pewnością dodatkowe koszty) dla europejskich organizacji, które działają na rynku brytyjskim.
Urząd Ochrony Danych Osobowych rekomenduje, następujący schemat działania w związku z potencjalnym statusem Wielkiej Brytanii jako państwa trzeciego:
- Przede wszystkim każdy administrator danych lub podmiot przetwarzający, którzy przekazują dane do Wielkiej Brytanii, powinni określić, jakie kategorie danych ulegają przekazaniu, jaki jest cel ich przekazania i na jakiej podstawie prawnej na tę chwilę do tego dochodzi.
- Dalej konieczna jest decyzja, czy te transfery będą odbywać się po 31 grudnia 2020 r.
- Jeśli podmiot zdecyduje się kontynuować współpracę związaną z przekazywaniem danych, powinien zapewnić stosowny mechanizm lub podstawę prawną legalizującą przekazywanie danych (w tym przede wszystkim w kontekście art. 46 RODO, mówiącego o odpowiednich zabezpieczeniach)…
- i w razie potrzeby zmodyfikować:
- dokumentację ochrony danych osobowych (w tym przede wszystkim rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, a także wewnętrzne procedury regulujące kwestie przekazywania danych do państw trzecich),
- klauzule informacyjne (w klauzuli powinna znaleźć się informacja, że dane są przekazywane do Wielkiej Brytanii),
- istniejące wiążące reguły korporacyjne.
Zaznaczamy, że w dalszym ciągu nie da się jednoznacznie stwierdzić, na jakich zasadach będzie dochodziło do transferu danych osobowych do Wielkiej Brytanii – status Wysp jako państwa trzeciego jest potencjalny, lecz jeszcze nie jest przesądzony. Dlatego rekomendujemy, aby śledzić informacje dotyczące przebiegu procesu ostatecznego wyjścia Wielkiej Brytanii z UE (rozumianego jako upływ okresu przejściowego).
Uwaga:
Zgodnie z art. 45 ust. 1 RODO „Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia”. Niewykluczone, że Komisja Europejska wyda taką decyzję w sprawie Wielkiej Brytanii, co z pewnością byłoby dużym ułatwieniem dla przedsiębiorców.
Czy pozostaje czekać i powoli przygotowywać się na najgorszy scenariusz?
Wszyscy chyba jednak po cichu liczą, że mimo wyjścia Wielkiej Brytanii z Unii, w ciągu okresu przejściowego brytyjski rząd dojdzie do porozumienia z Brukselą i wspólnie wypracują rozwiązania, które złagodzą skutki tego wydarzenia bez precedensu w historii Unii Europejskiej. Odpowiednie porozumienia w tym zakresie i wypracowane kompromisy umożliwiłyby zachowanie niezakłóconego przepływu danych między Wielką Brytanią a Unią, co zdecydowanie nastąpiłoby z korzyścią dla obu stron. Nie zapominajmy, że zgodnie z art. 83 ust. 5 RODO naruszenie przepisów związanych z przekazywaniem danych osobowych do państw trzecich obwarowane jest administracyjną karą pieniężną sięgającą maksymalnie 20 mln euro (lub 4% całkowitego rocznego obrotu przedsiębiorstwa).