31 maja 2021 Udostępnij

Umowa handlowa między UE a Wielką Brytanią: wpływ na przekazywanie danych osobowych, Karen Mc Cullagh

W dniu 1 stycznia 2021 r. zakończył się okres przejściowy przewidziany w umowie o wystąpieniu z Brexitu, a stosunki handlowe między Wielką Brytanią a UE są obecnie regulowane częściowo przez Umowę o handlu i współpracy między UE a Wielką Brytanią ("Umowa handlowa"). Ten wpis na blogu koncentruje się na zmianach w brytyjskim prawie ochrony danych osobowych oraz mechanizmach przekazywania danych osobowych pomiędzy Wielką Brytanią a krajami trzecimi i vice versa. Szczególną uwagę zwraca się na postanowienia umowy handlowej, które zapewniają przejściową ulgę w odniesieniu do transferów EOG-UK. Potwierdza, że chociaż środki przejściowe są mile widziane, długoterminowe ustalenia pozostają niepewne, ponieważ trwa ocena adekwatności i nie jest w żadnym wypadku pewne, czy Komisja uzna Zjednoczone Królestwo za adekwatne.

GDPR i UK GDPR

Ogólne rozporządzenie o ochronie danych (GDPR), jako rozporządzenie UE, nie ma już bezpośredniego zastosowania w Wielkiej Brytanii. Jednakże, aby "utrzymać standardy ochrony danych zawarte w GDPR w prawie Zjednoczonego Królestwa", GDPR zostało zachowane w prawie krajowym Zjednoczonego Królestwa. Wchodzi w zakres nowej kategorii prawa stworzonej przez ustawę o Unii Europejskiej (Withdrawal) Act 2018 znanej jako "zachowane prawo UE" i zostało przemianowane na brytyjskie GDPR, aby odróżnić je od GDPR.... Brytyjskie GDPR należy czytać obok ustawy o ochronie danych osobowych z 2018 r., która nadaje moc prawną krajowym odstępstwom pierwotnie dozwolonym przez GDPR.

W przeważającej części brytyjskie GDPR jest takie samo jak GDPR, aczkolwiek odniesienia do "prawa Unii lub państwa członkowskiego" zastąpiono odniesieniami do "prawa krajowego", a odniesienia do decyzji podjętych przez Komisję UE zastąpiono odniesieniami do decyzji podjętych przez rząd Zjednoczonego Królestwa. Podstawowe zasady, obowiązki administratorów danych i podmiotów przetwarzających dane oraz prawa osób fizycznych pozostają takie same jak w GDPR (z wyjątkiem zasady jednego okienka, omówionej poniżej), a ICO pozostaje brytyjskim krajowym organem nadzorczym. Ciągłe dostosowywanie prawa brytyjskiego do GDPR ułatwia przedsiębiorstwom przetwarzającym dane osobowe planowanie i przygotowanie zgodności.

W związku z tym skutkiem istnienia dwóch różnych przepisów jest nałożenie na niektóre organizacje dodatkowych obciążeń związanych z przestrzeganiem przepisów. Nie tylko przedsiębiorstwa z siedzibą w Wielkiej Brytanii, które przetwarzają dane osobowe osób fizycznych w Wielkiej Brytanii, muszą przestrzegać brytyjskiego GDPR i Data Protection Act 2018, podobnie jak organizacje z siedzibą w EOG z zakładem lub bez zakładu w Wielkiej Brytanii, które oferują towary lub usługi lub które monitorują działania osób fizycznych w Wielkiej Brytanii, ponieważ ma on skutek eksterytorialny.

Ponadto brytyjscy administratorzy danych nieposiadający siedziby w UE, którzy oferują towary lub usługi, lub którzy monitorują działalność osób fizycznych w państwach UE, muszą wyznaczyć przedstawiciela w państwie UE (chyba że przetwarzanie przez nich danych osobowych ma charakter sporadyczny i nie obejmuje, na dużą skalę, przetwarzania szczególnych kategorii danych), co stanowi uciążliwy wymóg dla małych i średnich podmiotów, które nie posiadają odpowiednich zasobów finansowych i prawnych. Rola przedstawiciela musi być określona w Informacjach o ochronie prywatności i może on otrzymywać komunikaty od osób fizycznych z UE i organów nadzorczych ds. ochrony danych w UE. Przedstawiciel musi prowadzić dokumentację działań związanych z przetwarzaniem danych i współpracować z organem nadzorczym w przypadku zgłoszenia jakichkolwiek wątpliwości. Podobne obowiązki w zakresie wyznaczenia przedstawiciela w Zjednoczonym Królestwie mają zastosowanie do administratorów danych z UE nieposiadających siedziby w Zjednoczonym Królestwie, co zwiększa obciążenie związane z przestrzeganiem przepisów.

Umowa handlowa - dodatkowe ustalenia przejściowe

Co istotne, umowa handlowa nie dotyczy kluczowej kwestii, czy system ochrony danych Zjednoczonego Królestwa jest "odpowiedni" (tj. czy zapewnia zasadniczo równoważny poziom ochrony w stosunku do UE), aby umożliwić swobodny przepływ danych z krajów EOG do Zjednoczonego Królestwa. Komisja milczy w tej sprawie, ponieważ ocena adekwatności jest procesem odrębnym od umowy handlowej i chociaż Komisja rozpoczęła swoją ocenę w 2020 r., proces ten nie jest jeszcze zakończony.

Zazwyczaj oznaczałoby to, że do przekazywania danych osobowych z krajów EOG do Wielkiej Brytanii wymagane byłyby dodatkowe zabezpieczenia. Umowa handlowa przewiduje jednak, że Zjednoczone Królestwo nie będzie traktowane jako państwo trzecie dla celów GDPR w dodatkowym okresie przejściowym, który rozpoczął się w dniu 1 stycznia 2021 r. i kończy się albo (1) w dniu przyjęcia przez Komisję Europejską decyzji stwierdzającej odpowiedni poziom ochrony w odniesieniu do Zjednoczonego Królestwa na mocy art. 45 ust. 3 GDPR, albo (2) w okresie czterech miesięcy, który może zostać przedłużony o dwa miesiące w drodze porozumienia. Ponieważ transgraniczny przepływ danych osobowych ma zasadnicze znaczenie dla kilku sektorów gospodarki Zjednoczonego Królestwa, takich jak handel elektroniczny, usługi finansowe, telekomunikacja, podróże i turystyka, należy z zadowoleniem przyjąć dalszy swobodny przepływ danych między krajami EOG a Zjednoczonym Królestwem w dodatkowym okresie przejściowym.

Porozumienie jest jednak uzależnione od tego, czy w dodatkowym okresie przejściowym Zjednoczone Królestwo nie zmieni swoich przepisów dotyczących ochrony danych ani nie skorzysta z pewnych "wyznaczonych uprawnień" w zakresie przekazywania danych za granicę bez zgody UE. Zawiera ona wyjątek dotyczący zmian wprowadzanych przez Zjednoczone Królestwo w celu dostosowania do przepisów obowiązujących w UE. Komisja Europejska opublikowała projekt decyzji wykonawczej w sprawie nowych standardowych klauzul umownych dotyczących przekazywania danych. Jeżeli UE przyjmie te nowe klauzule, wyjątek pozwoli Zjednoczonemu Królestwu na przyjęcie takich samych zaktualizowanych klauzul, jeżeli będzie ono tego chciało. Jeżeli jednak Wielka Brytania zmieni swoje przepisy o ochronie danych (w sposób inny niż w celu dostosowania do aktualizacji unijnych przepisów o ochronie danych) lub skorzysta z wyznaczonych uprawnień bez zgody, dodatkowy okres przejściowy automatycznie zakończy się.

Podczas gdy włączenie dodatkowego okresu przejściowego do umowy handlowej zapewnia przedsiębiorstwom pewien stopień pewności i stabilności, wiele z nich bez wątpienia wolałoby mieć większą pewność co do prawdopodobnego wyniku oceny adekwatności, ponieważ wdrożenie alternatywnych mechanizmów jest czasochłonne - wiele z nich będzie się więc obawiać, że jeśli okaże się, że Wielka Brytania nie zapewnia odpowiedniego poziomu ochrony, za kilka miesięcy znajdą się na krawędzi klifu związanego z ochroną danych.

Prawdopodobieństwo adekwatności - Plany awaryjne

Dopiero okaże się, czy Komisja uzna Wielką Brytanię za "odpowiednią", zwłaszcza w świetle decyzji TSUE w sprawie Privacy International przeciwko Secretary of State for Foreign and Commonwealth Affairs and Others (C-623/17), która podała w wątpliwość, czy Investigatory Powers Act 2016 zawiera ograniczenia merytoryczne i wystarczające zabezpieczenia dotyczące uprawnień do zatrzymywania i dostępu do danych masowych dla celów bezpieczeństwa narodowego, aby być zgodną z prawem UE.

Niektórzy komentatorzy spekulowali, że Wielka Brytania zapewni sobie stwierdzenie odpowiedniości, podczas gdy inni stanowczo twierdzili, że nie powinna. Moim zdaniem możliwe jest, że Wielka Brytania zostanie uznana za odpowiednią, ponieważ oceny adekwatności obejmują nie tylko względy prawne, ale także polityczne i gospodarcze, a to może skłonić Komisję do uznania adekwatności pomimo braków prawnych. Co więcej, zgadzam się z innymi, że Wielka Brytania może uzyskać, ale będzie walczyła o utrzymanie decyzji stwierdzającej odpowiedni poziom ochrony, ale ta dyskusja jest na inny dzień!

Dla przedsiębiorstw kluczową kwestią jest to, jakie kroki, jeśli w ogóle, muszą zaplanować i wdrożyć po zakończeniu dodatkowego okresu przejściowego. Ponieważ wynik oceny adekwatności nie jest przesądzony, Biuro Komisarza ds. Informacji Zjednoczonego Królestwa ("ICO") z zadowoleniem przyjęło dodatkowy okres przejściowy w umowie handlowej, ale również zaleciło "jako rozsądny środek ostrożności", aby przedsiębiorstwa Zjednoczonego Królestwa współpracowały z organizacjami z UE i EOG, które przekazują im dane osobowe, w celu "wprowadzenia" alternatywnych mechanizmów przekazywania danych, takich jak standardowe klauzule umowne (SCC) lub wiążące reguły korporacyjne, lub były przygotowane do polegania na odstępstwach w celu ułatwienia przekazywania danych osobowych między EOG a Zjednoczonym Królestwem.

Chociaż BCR i SCC byłyby najbardziej odpowiednimi alternatywnymi mechanizmami dla wielu organizacji, należy zauważyć, że ich wdrożenie jest uciążliwe, złożone i kosztowne, ponieważ wytyczne EDPB wymagają od firm przeprowadzania "mini ocen adekwatności" krajów, do których przekazywane są dane, przy użyciu tych samych kryteriów, co Komisja Europejska podczas oceny adekwatności, i są one potencjalnie otwarte na zakwestionowanie prawne w związku z dyrektywą Schrems II. W związku z tym małe i średnie przedsiębiorstwa nie będą mogły sobie pozwolić na podjęcie takich kroków, podczas gdy większe przedsiębiorstwa, które mogą sobie na nie pozwolić, bez wątpienia będą miały pretensje do wydatków, jeśli później okażą się one niepotrzebne. Krótko mówiąc, rada jest rozważna, ale mało prawdopodobne, że wielu się do niej zastosuje.

Przekazywanie danych z Wielkiej Brytanii do krajów trzecich

Jeśli chodzi o przekazywanie danych z Wielkiej Brytanii do krajów trzecich, Wielka Brytania przejściowo uznała wszystkie kraje EOG, instytucje i organy UE za zapewniające odpowiedni poziom ochrony. Gibraltar jest uznawany za państwo oferujące odpowiedni poziom ochrony, bez wątpienia dlatego, że jest to brytyjskie terytorium zamorskie. Andorę, Argentynę, Kanadę (organizacje handlowe), Wyspy Owcze, Guernsey, Izrael, Wyspę Man, Japonię (organizacje sektora prywatnego), Nową Zelandię, Szwajcarię i Urugwaj za zapewniające odpowiedni poziom ochrony. Dzięki temu przekazy ze Zjednoczonego Królestwa do tych 42 krajów będą mogły być kontynuowane w perspektywie krótkoterminowej bez dodatkowych kontroli i zabezpieczeń regulacyjnych, natomiast w odniesieniu do przekazów do wszystkich pozostałych krajów trzecich potrzebne będą odpowiednie zabezpieczenia.

Cyfryzacji, Kultury, Mediów i Sportu będzie prowadził wykaz krajów, terytoriów i organizacji, które uznał za odpowiednie, i będzie miał prawo (w drodze uchwały negatywnej, bez udziału ICO) do cofnięcia istniejących decyzji o odpowiedniej ochronie oraz do przeprowadzania własnych ocen odpowiedniej ochrony.

Sytuacja w zakresie przekazywania danych osobowych ze Zjednoczonego Królestwa do Stanów Zjednoczonych jest jednak bardziej skomplikowana i niepewna po unieważnieniu przez ETS w sprawie Schrems II decyzji o odpowiedniej ochronie, znanej jako Privacy Shield, dotyczącej przekazywania danych osobowych między UE a USA.

Przed decyzją Schrems II rząd Zjednoczonego Królestwa zamierzał wykorzystać zmodyfikowane porozumienie Tarczy Prywatności, tj. jedno specyficzne dla transferów UK-USA w celu ułatwienia transferów. Chociaż rząd Zjednoczonego Królestwa posiada obecnie autonomię w zakresie wdrożenia takiego mechanizmu przeniesienia, jest mało prawdopodobne, aby skorzystał z tego uprawnienia natychmiast, ponieważ prawdopodobnie zostałoby ono uruchomione po wygaśnięciu dodatkowych uzgodnień przejściowych. Ponadto Komisja dokona przeglądu ustaleń dotyczących dalszego przekazywania danych w ramach swojej oceny adekwatności; bez wątpienia będzie miała zastrzeżenia co do dalszego przekazywania danych obywateli UE ze Zjednoczonego Królestwa do USA za pośrednictwem mechanizmu podobnego do tego, który został uznany za nieważny przez TSUE. W związku z tym zaleca się przedsiębiorstwom, by w celu ułatwienia przekazywania danych do USA nadal stosowały standardowe klauzule umowne, wsparte odpowiednimi dodatkowymi środkami umownymi, organizacyjnymi i technicznymi, zgodnie z zaleceniami EDPB.

Główne placówki i zasada "jednego okienka" (ang. One Stop Shop)

Zgodnie z GDPR organizacje z siedzibą w EOG, które przetwarzają dane w więcej niż jednym kraju EOG, muszą kontaktować się tylko z jednym organem regulacyjnym jako wiodącym organem nadzorczym. Jest to znane jako zasada "One Stop Shop". Oznacza to na przykład, że jeden organ EOG nałożyłby jedną grzywnę w wyniku naruszenia, które miało miejsce w kilku krajach EOG.

Jednak organizacje posiadające główną siedzibę w Zjednoczonym Królestwie i nieposiadające żadnej siedziby w EOG nie mogą powoływać się na zasadę "pojedynczego punktu kontaktowego" GDPR. Ponieważ jednak GDPR ma w pewnych okolicznościach skutek eksterytorialny, mogą oni być zmuszeni do współpracy z organami nadzorczymi we wszystkich państwach EOG, w których znajdują się osoby, których dane dotyczą, i których dane osobowe przetwarzają. Wymóg ten skłania organizacje posiadające główną siedzibę w Wielkiej Brytanii i oddziały w EOG do rozważenia wyznaczenia jednego ze swoich oddziałów w EOG, aby skorzystać z "punktu kompleksowej obsługi" GDPR i uniknąć ryzyka działań regulacyjnych ze strony wielu organów regulacyjnych EOG. Mimo to, jeśli przetwarzanie transgraniczne obejmuje EOG i Wielką Brytanię, nadal będzie podlegać jurysdykcji ICO, jak również wiodącemu organowi regulacyjnemu EOG. A ponieważ obciążenie związane z przestrzeganiem przepisów dla niektórych administratorów danych wzrosło, ponieważ naruszenie ochrony danych o wymiarze wielonarodowym może wymagać powiadomienia o naruszeniu zarówno ICO, jak i co najmniej jednego organu nadzorczego UE, a każdy organ nadzorczy może prowadzić dochodzenie i nakładać sankcje, np. grzywny, niektóre firmy z siedzibą w USA, takie jak Facebook i Google, zdecydowały się przenieść wszystkich swoich użytkowników z Wielkiej Brytanii do umów z użytkownikami z siedzibą główną w Kalifornii, przenosząc je poza kontrolę organów regulacyjnych ds. ochrony danych w Unii Europejskiej (zamiast narażać się na potencjalne działania prawne zarówno w UE, jak i w Wielkiej Brytanii).