28 czerwca 2021 r. Komisja Europejska wydała decyzję dotyczącą przekazywania danych osobowych z Unii Europejskiej do Wielkiej Brytanii. Konieczność uregulowania kwestii transferu danych do UK powstała w wyniku odejścia UK z UE (Brexit) i przynosi ze sobą zmiany dla wszystkich podmiotów transferujących dane z Europy do Wielkiej Brytanii.
Zgodnie z przepisami RODO przenoszenie danych osobowych poza UE może mieć miejsce jedynie w kilku przypadkach. Między innymi wtedy, gdy Komisja Europejska stwierdzi, że państwo trzecie – jako odbiorca danych – zapewnia odpowiedni stopień ochrony. Taką decyzję KE wydała właśnie wobec Wielkiej Brytanii. Aktualnie na terenie UK nie obowiązują przepisy RODO. A to one dotychczas umożliwiały swobodny przepływ danych pomiędzy Państwami Europejskiego Obszaru Gospodarczego i Wielką Brytanią.
W skład EOG wlicza się dwadzieścia siedem państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia. Przesyłanie danych w ich obrębie podlega ułatwieniom, inaczej jest w przypadku państw spoza Unii.
Uznanie przez Komisję Europejską określonego państwa trzeciego, w tym wypadku Wielkiej Brytanii, za zapewniające odpowiedni poziom ochrony danych osobowych umożliwia równie swobodne przekazywanie takich danych z EOG. A cały proces odbywa się bez konieczności uzyskiwania dodatkowych zezwoleń lub wdrożenia dodatkowych zabezpieczeń przewidzianych w rozdziale V RODO. Do takich środków ochrony należą m.in. standardowe klauzule umowne, które są wymagane, jeżeli państwo trzecie nie zapewnia adekwatnego poziomu ochrony potwierdzonego decyzją KE. W praktyce oznacza to, że dane osobowe będą mogły być transferowane do Wielkiej Brytanii bez ograniczeń przy poszanowaniu innych przepisów RODO.
W przypadku braku decyzji KE co do państwa trzeciego możliwy jest transfer danych w oparciu o standardowe klauzule umowne. Z dniem 27 czerwca 2021 r. zaczął obowiązywać nowy wzór klauzul dostosowany do wymogów RODO. Standardowe klauzule umowne są zestawem wzorcowych (modelowych) postanowień umowy dotyczącej przekazywania danych pomiędzy podmiotami. Obecnie dysponujemy czterema rodzajami standardowych klauzul umownych odpowiadającym różnym relacjom przekazywania danych:
- między administratorami,
- przez administratora podmiotowi przetwarzającemu w państwie trzecim,
- między podmiotami przetwarzającymi,
- przez podmiot przetwarzający administratorowi w państwie trzecim.
Umowy zawarte przed wejściem w życie nowego wzoru klauzul w oparciu o uprzedni wzór mogą nadal stanowić podstawę przekazywania danych poza EOG. Jednak pod warunkiem, że operacje przetwarzania będące przedmiotem umowy pozostaną niezmienione. Drugim wymogiem do spełnienia jest stosowanie odpowiednich zabezpieczeń.