W ostatnich miesiącach Komisja uważnie oceniła brytyjskie prawo i praktykę w zakresie ochrony danych osobowych, w tym przepisy dotyczące dostępu organów publicznych do danych. Stwierdziła, że Zjednoczone Królestwo zapewnia zasadniczo taki sam stopień ochrony jak poziom gwarantowany na podstawie ogólnego rozporządzenia o ochronie danych (RODO) oraz – po raz pierwszy – na podstawie dyrektywy o ochronie danych w sprawach karnych.
Wiceprzewodnicząca do spraw wartości i przejrzystości Věra Jourová powiedziała: – Zapewnienie swobodnego i bezpiecznego przepływu danych osobowych ma kluczowe znaczenie dla przedsiębiorstw i obywateli po obu stronach kanału La Manche. Zjednoczone Królestwo opuściło UE, pozostaje jednak w grupie europejskich krajów dbających o ochronę prywatności. Jednocześnie powinniśmy zadbać o to, by nasza decyzja przetrwała próbę czasu. Dlatego uwzględniliśmy jasne i ścisłe mechanizmy w zakresie monitorowania i przeglądu, zawieszania lub cofania takich decyzji, na wypadek wprowadzenia jakichkolwiek problematycznych zmian w systemie brytyjskim po stwierdzeniu odpowiedniego stopnia ochrony.
Komisarz do spraw wymiaru sprawiedliwości Didier Reynders powiedział: – Bezpieczny przepływ danych między UE a Zjednoczonym Królestwem jest niezwykle istotny dla utrzymania bliskich stosunków handlowych i skutecznej współpracy w walce z przestępczością. Rozpoczynamy dziś procedurę, której celem jest osiągnięcie takiego bezpieczeństwa. Dogłębnie sprawdziliśmy system ochrony prywatności, jaki stosuje Zjednoczone Królestwo od czasu opuszczenia UE. Europejskie organy ochrony danych przeanalizują teraz szczegółowo projekty tekstów. Podstawowe prawo obywateli UE do ochrony danych nigdy nie może być zagrożone także po drugiej stronie kanału La Manche. Przyjęcie decyzji stwierdzających odpowiedni stopień ochrony gwarantowałoby ochronę tego prawa.
W porównaniu z innymi państwami spoza UE, w przypadku których konwergencję osiąga się na drodze procesu stwierdzenia odpowiedniego stopnia ochrony między często rozbieżnymi systemami, brytyjski system ochrony danych od dziesięcioleci jest kształtowany przez prawo UE. Jednocześnie istotne jest, aby teraz, gdy Zjednoczone Królestwo nie będzie już związane unijnymi przepisami o ochronie prywatności, ustalenia dotyczące odpowiedniego stopnia ochrony nie ulegały dezaktualizacji. Dlatego też przyjęte decyzje będą obowiązywać najpierw przez okres czterech lat. Po tym okresie – jeżeli poziom ochrony w Zjednoczonym Królestwie będzie nadal odpowiedni – możliwe byłoby odnowienie ustaleń dotyczących odpowiedniego stopnia ochrony.
Do tego czasu przepływ danych między Europejskim Obszarem Gospodarczym a Zjednoczonym Królestwem będzie nadal zabezpieczony dzięki warunkowemu systemowi przejściowemu uzgodnionemu w umowie o handlu i współpracy między Zjednoczonym Królestwem a UE. Ten okres przejściowy upływa 30 czerwca 2021 r.
Dalsze kroki
Po uwzględnieniu opinii Europejskiej Rady Ochrony Danych Komisja Europejska zwróci się o zgodę do przedstawicieli państw członkowskich w ramach tzw. procedury komitetowej. Po jej uzyskaniu Komisja Europejska będzie mogła przyjąć ostateczne decyzje stwierdzające odpowiedni stopień ochrony w odniesieniu do Zjednoczonego Królestwa.
Kontekst
Art. 45 ust. 3 RODO i art. 36 ust. 3 dyrektywy o ochronie danych w sprawach karnych przyznają Komisji uprawnienia do decydowania, w drodze aktu wykonawczego, czy państwo niebędące członkiem UE zapewnia „odpowiedni stopień ochrony”, tj. poziom ochrony danych osobowych zasadniczo odpowiadający stopniowi ochrony w UE. Jeżeli stopień ochrony w państwie niebędącym członkiem UE zostanie uznany za „odpowiedni”, przekazywanie danych osobowych z UE do danego państwa spoza UE może nastąpić bez konieczności spełnienia dodatkowych warunków.
W Zjednoczonym Królestwie przetwarzanie danych jest regulowane tzw. „rozporządzeniem o ochronie danych Zjednoczonego Królestwa” oraz ustawą o ochronie danych z 2018 r., które opierają się na unijnych aktach: RODO i dyrektywie o ochronie danych w sprawach karnych. Przewidziano w nich zabezpieczenia, prawa indywidualne, obowiązki administratorów i podmiotów przetwarzających, przepisy dotyczące międzynarodowego przekazywania danych, system nadzoru i możliwości dochodzenia roszczeń podobne do tych, jakie przewidziano w prawie Unii. Projekty decyzji obejmują również szczegółową ocenę warunków i ograniczeń, a także mechanizmów nadzoru i środków ochrony prawnej, mających zastosowanie w przypadku dostępu organów publicznych Zjednoczonego Królestwa do danych, w szczególności do celów egzekwowania prawa i zapewnienia bezpieczeństwa narodowego.
Warto również zauważyć, że Zjednoczone Królestwo jest – i zobowiązało się pozostać – stroną europejskiej konwencji praw człowieka i Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, jedynego wiążącego wielostronnego instrumentu prawnego dotyczącego ochrony danych. Oznacza to, że choć Zjednoczone Królestwo opuściło UE, pozostaje w grupie europejskich krajów stawiających na ochronę prywatności. Dalsze przestrzeganie takich konwencji międzynarodowych ma szczególne znaczenie dla stabilności i trwałości proponowanych ustaleń dotyczących odpowiedniego stopnia ochrony.
Projekty decyzji stwierdzających odpowiedni stopień ochrony, które dziś przekazano EROD, dotyczą przepływu danych z UE do Zjednoczonego Królestwa. Przepływ danych w odwrotnym kierunku – ze Zjednoczonego Królestwa do UE – reguluje ustawodawstwo Zjednoczonego Królestwa, które ma zastosowanie od 1 stycznia 2021 r. Zjednoczone Królestwo podjęło decyzję stwierdzającą, że UE zapewnia odpowiedni poziom ochrony i że w związku z tym możliwy jest swobodny przepływ danych ze Zjednoczonego Królestwa do UE.