Przekazywanie danych do Wielkiej Brytanii

Od 31 stycznia 2020 r. Wielka Brytania nie jest już członkiem UE, natomiast 30 czerwca 2021 r. minął tzw. okres przejściowy, podczas którego przekazywanie danych z państw członkowskich do Wielkiej Brytanii odbywało się na podstawie przepisów sprzed Brexitu. Zmianie uległy wtedy jedynie zasady obecności organu nadzorczego Wielkiej Brytanii (ICO) w Europejskiej Radzie Ochrony Danych oraz współpracy ICO i organów nadzorczych krajów Unii, w tym Prezesa Urzędu Ochrony Danych Osobowych.

28 czerwca 2021 r. Komisja Europejska przyjęła dwie decyzje wykonawcze stwierdzające odpowiedni poziom ochrony danych osobowych w Wielkiej Brytanii:

• Decyzja wykonawcza Komisji (UE) 2021/1772 z dnia 28 czerwca 2021 r., została wydana na podstawie rozporządzenia 2016/679 (link: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32021D1772),
• Decyzja wykonawcza Komisji (UE) 2021/1773 z dnia 28 czerwca 2021 r, wydana na podstawie dyrektywy (UE) 2016/680 (link: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32021D1773).

Uznanie przez KE określonego państwa trzeciego, w tym wypadku Wielkiej Brytanii, za zapewniające odpowiedni poziom ochrony danych osobowych umożliwia swobodne przekazywanie takich danych z EOG bez konieczności uzyskiwania dodatkowych zezwoleń lub wdrożenia dodatkowych zabezpieczeń przewidzianych w rozdziale V rozporządzenia 2016/679, które są wymagane, jeżeli państwo trzecie takiej ochrony nie zapewnia.

Podobnie będą oceniane transfery danych do Zjednoczonego Królestwa na podstawie przepisów rozdziału 3a ustawy z 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich UE, państw trzecich, agencjami UE oraz organizacjami międzynarodowymi, który wdraża w polskim porządku prawnym rozdział V dyrektywy (UE) 2016/680. Możliwość swobodnego przekazywania danych do Wielkiej Brytanii nie wyłącza konieczności zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych.

Obie decyzje weszły w życie 28 czerwca 2021 r. i zostały wydane na czas określony wynoszący cztery lata. Oznacza to, że będą obowiązywały do 27 czerwca 2025 r. Jeżeli w tym czasie Zjednoczone Królestwo będzie nadal zapewniać odpowiedni poziom ochrony danych osobowych, Komisja Europejska może przedłużyć obowiązywanie tych decyzji.