Wraz z ratyfikacją 30 stycznia 2020 r. przez Radę Unii Europejskiej Umowy o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowe (tzw. Brexit Withdrawal Agreement; umowa brexitowa) zakończył się proces zmierzający do wyjścia Wielkiej Brytanii ze struktur europejskich i tym samym stało się jasne, że 31 stycznia jest ostatnim dniem Wielkiej Brytanii w Unii Europejskiej.
Z perspektywy praktycznej, wyjście Wielkiej Brytanii z Unii Europejskiej oznacza ryzyko zawirowań gospodarczych, jak i niepewności co do obowiązującego stanu prawnego – takie wątpliwości nie ominęły także dziedziny ochrony danych osobowych, która od 25 maja 2018 r. jest regulowana na terenie Unii Europejskiej przez Ogólne rozporządzenie o ochronie danych (RODO). Problemy te są szczególnie istotne biorąc pod uwagę skalę kontaktów gospodarczych (w tym wymianę danych osobowych) między podmiotami europejskimi a brytyjskimi.
W celu złagodzenia skutków Brexitu oraz umożliwienia wynegocjowania umów międzynarodowych precyzyjnie regulujących przyszłe relacje między Wielką Brytanią a Unią Europejską, Umowa brexitowa wprowadza tzw. okres przejściowy, który będzie trwał od 1 lutego do 31 grudnia 2020 r.
Zgodnie z art. 127 Umowy – w okresie przejściowym prawo Unii Europejskiej w dalszym ciągu będzie stosowane na terenie Wielkiej Brytanii.
Oznacza to, że przetwarzanie danych osób znajdujących się na terenie Wielkiej Brytanii, jak i przetwarzanie danych osobowych przez podmioty brytyjskie na obszarze innych państw członkowskich w dalszym ciągu będzie podlegało reżimowi RODO.
Co istotne, brytyjski organ ochrony danych osobowych – Information Commissioner’s Office (ICO) pozostanie niezależnym organem nadzoru w rozumieniu przepisów RODO – oznacza to, że w dalszym ciągu będą mu przysługiwały wszelkie uprawnienia kontrolne w zakresie ochrony danych osobowych (w tym uprawnienie do nakładania kar finansowych), jak i pozostanie organem właściwym w przypadkach egzekwowania praw podmiotów danych.
W okresie przejściowym transfer danych między Zjednoczonym Królestwem i Unią Europejską będzie się odbywał na dotychczasowych zasadach. Natomiast od 1 stycznia 2021 r. konieczne będzie spełnienie wymogów przewidzianych w art. 46-49 RODO, chyba że zostanie wydana decyzja Komisji Europejskiej o zapewnieniu odpowiedniego stopnia ochrony danych osobowych przez Wielką Brytanię.
Umowa brexitowa wyjaśnia także kwestię przetwarzania danych osobowych już po zakończeniu okresu przejściowego. W art. 71 ust. 1 Umowy wskazuje, że prawo Unii Europejskiej o ochronie danych osobowych będzie nadal obowiązywało w stosunku do osób spoza Zjednoczonego Królestwa:
- których dane były już przetwarzane w Wielkiej Brytanii zgodnie z prawem unijnym przed końcem okresu przejściowego, jak i
- w przypadku przetwarzania danych osobowych na podstawie Umowy brexitowej.
Jednak w przypadku stwierdzenia adekwatnego stopnia ochrony danych osobowych na mocy decyzji Komisji Europejskiej, przetwarzanie danych osobowych osób spoza Wielkiej Brytanii nie będzie już podlegać przepisom prawa Unii Europejskiej, a przepisom krajowym zapewniającym odpowiedni poziom ochrony.
Tym samym, w takim przypadku w stosunku do danych osobowych osób spoza Wielkiej Brytanii ostatecznie przestaną mieć zastosowanie przepisy unijne, które zostaną zastąpione przez regulacje brytyjskie. Obecnie kluczowym aktem brytyjskiego prawa krajowego regulującym ochronę danych osobowych jest Data Protection Act.
Po 31 grudnia 2020 r. RODO przestanie obowiązywać na obszarze Wielkiej Brytanii, chyba że zastosowanie będą miały wyjątki przewidziane przez art. 71 ust. 1 Umowy brexitowej, jednak do tego czasu unijne przepisy o ochronie danych osobowych powinny zostać w pełni implementowane do brytyjskiego porządku prawnego – w związku z tym nie należy spodziewać się większych zmian w podejściu do przetwarzania danych.
Należy jednak pamiętać, że zgodnie art. 3 RODO – jest ono stosowane do przetwarzania danych osobowych przez podmioty mające jednostki organizacyjne na terenie Unii Europejskiej, jak i w sytuacji gdy podmiot nie posiada jednostki organizacyjnej w Unii Europejskiej, ale przetwarzanie wiąże się z oferowaniem towarów lub usług osobom przebywającym na terenie Unii, a także gdy przetwarzanie danych wiąże się z monitorowaniem zachowań takich osób.
W rezultacie, niezależnie od implementacji RODO do brytyjskiego porządku prawnego, także po 31 grudnia 2020 r. zarówno podmioty brytyjskie przetwarzające dane osób fizycznych znajdujących się na terenie Unii Europejskiej, jak i podmioty europejskie, które przetwarzają dane osobowe osób znajdujących się w Wielkiej Brytanii będą musiały stosować przepisy RODO.