Brexit czy nie Brexit: jak przepisy GDPR będą stosowane w Wielkiej Brytanii?

Niniejszy artykuł ma na celu pokazanie, dlaczego i w jaki sposób nowe rozporządzenie o ochronie danych osobowych (GDPR) może być stosowane w Wielkiej Brytanii przed Brexitem. Ten pierwszy post będzie bronił tezy, że GDPR zacznie obowiązywać w Wielkiej Brytanii przed sfinalizowaniem Brexitu i wyjaśni, jaką formę może przybrać realizacja GDPR w Wielkiej Brytanii w bardzo niepewnym kontekście wywołanym przez Brexit. W drugim poście wyjaśnimy, w jaki sposób zasady GDPR będą nadal obowiązywać w Wielkiej Brytanii nawet po Brexicie.

Celem niniejszego stanowiska jest przedstawienie argumentów prawnych, aby wykazać, dlaczego i w jaki sposób przepisy ogólnego rozporządzenia o ochronie danych (dalej GDPR) będą miały zastosowanie do Wielkiej Brytanii, w taki czy inny sposób. W swoim przemówieniu z 17 stycznia Theresa May powiedziała, że European Communities Act Repeal Bill "przekształci "acquis", czyli całość istniejącego prawa UE, w prawo brytyjskie". Innymi słowy, stosowanie przepisów GDPR po Brexicie jest ściśle powiązane z pytaniem, czy GDPR będzie miało zastosowanie przed Brexitem, czy też nie. Dlatego też w tym pierwszym wpisie wskażemy, jak GDPR będzie stosowane przed Brexitem, a w drugim przeanalizujemy, jak przepisy GDPR będą stosowane po Brexicie.

Brexit

Stosowanie GDPR przed Brexitem

We wcześniejszych postach Peter Oliver przedstawił kontekst prawny Brexitu, taki jak procedura wycofania, przyszłe relacje Wielkiej Brytanii z UE, wyrok Wysokiego Sądu Anglii i Walii oraz orzeczenie Sądu Najwyższego, które jasno wskazują, że przed formalnym uruchomieniem Brexitu wymagana jest ustawa Parlamentu. W niniejszym wpisie skupimy się na wpływie wysoce niepewnego kontekstu Brexitu na ochronę danych osobowych. Zostało to uwzględnione w białej księdze w sprawie Brexitu, która odnosi się do znaczenia "stabilności transferu danych dla wielu sektorów, od usług finansowych, przez technologie, po przedsiębiorstwa energetyczne". " (pkt.8.38).

Wpływ wysoce niepewnego kontekstu Brexitu na ochronę danych osobowych

Natura nie znosi próżni, podobnie jak zainteresowane strony w dziedzinie ochrony danych. Przynajmniej GDPR ma tę zaletę, że istnieje. GDPR zostało przyjęte po czterech latach negocjacji 26 kwietnia 2016 roku. Jest to monstrualny tekst składający się z 99 artykułów, stanowiący część pakietu zaprojektowanego jako kompleksowa reforma ram prawnych UE, która musi być powiązana z "drugą falą globalnego prawa prywatności". Reforma ta opiera się na trzech filarach:

  1. wzmocnienie praw osoby, której dane dotyczą, wzmocnienie obowiązków administratora danych i podmiotu przetwarzającego dane w ramach zasady rozliczalności oraz wzmocnienie regulacji ochrony danych przez organy ochrony danych (obejmuje to harmonizację ich statusu, kompetencji i uprawnień, w tym zwiększenie sankcji do 20 mln EUR lub 4% całkowitego rocznego obrotu przedsiębiorstwa).

GDPR zapewnia ramy prawne, na których podmioty mogą się oprzeć w wysoce niepewnym kontekście Brexitu.

  • Niepewność co do treści przyszłych relacji między Wielką Brytanią a UE: rozważano model norweski, model szwajcarski, model WTO, model kanadyjski, scenariusz sui generis. Ich wpływ na ochronę danych został dobrze opisany przez dr Karen Mc Cullagh. Według przemówienia Theresy May z 17 stycznia, Wielka Brytania stanie się krajem trzecim i będzie próbowała wynegocjować specjalny wolny handel z rynkami europejskimi. Stworzenie "prawdziwie globalnej Wielkiej Brytanii", jak wyraziła się premier Theresa May, może skłonić Wielką Brytanię do uznania, że GDPR nie jest jedynym rozwiązaniem po Brexicie. Zjednoczone Królestwo może zdecydować się na system ochrony danych bardziej zbliżony do systemu stosowanego przez partnerów ze Wspólnoty Narodów lub innych sojuszników. Tylko czas pokaże. Niepewność co do terminu: czy Theresa May uruchomi artykuł 50 do marca 2017 r., aby można było rozpocząć negocjacje? Obecnie, 8 lutego Izba Gmin zagłosowała za przyjęciem projektu ustawy o notyfikacji wycofania się z UE stosunkiem głosów 494 do 122. Ten projekt ustawy jest przedmiotem dyskusji w Izbie Lordów. Jednak nawet jeśli ustawa zostanie przyjęta przez Wielką Brytanię na czas, nie ma pewności, że negocjacje brytyjsko-unijne zostaną zakończone do końca marca 2019 roku. Niepewność co do tego, czy zawiadomienie złożone na mocy art. 50 może zostać odwołane, czy nie. Jak wynika z dokumentu informacyjnego Izby Gmin nr 7884 z 30 stycznia, kwestia ta nie została jeszcze rozstrzygnięta przez sądy i nadal trwa nad nią debata. Może się okazać, że będzie to wymagało zwrócenia się do ETS w ramach obecnego sporu sądowego rozważanego przed sądem irlandzkim. To nie jest tylko kwestia teoretyczna. Najnowsze sondaże pokazują, że obywatele nie zaakceptują Brexitu, który pogorszy ich sytuację.

W takich okolicznościach GDPR prawdopodobnie będzie miało zastosowanie do Zjednoczonego Królestwa, zanim formalnie opuści ono UE.

Charakter odroczonego stosowania GDPR na mocy art. 99

Artykuł 99 GDPR dotyczył wejścia w życie i stosowania GDPR. Rozporządzenie stanowi, że: 1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej. 2) stosuje się od dnia 25 maja 2018 r.

Co to dokładnie znaczy?

  • Po pierwsze, GDPR jest rozporządzeniem niekompletnym, ponieważ musi zostać wdrożone przez państwa członkowskie. Należy podkreślić, że GDPR nie oznacza uchylenia europejskich, krajowych przepisów o ochronie danych. GDPR zawiera przepisy zwane "klauzulami otwarcia", które umożliwiają państwom członkowskim przyjęcie własnych przepisów prawnych dotyczących ochrony danych. W związku z tym europejskie krajowe przepisy ochronne zostaną utrzymane po wejściu w życie GDPR. GDPR jest ilustracją nieszczelności granic między rozporządzeniem a dyrektywą. Po drugie, GDPR ma natychmiastowe skutki od momentu jego wejścia w życie 25 maja 2016 r.: administratorzy i podmioty przetwarzające muszą dostosować wszystkie swoje obecne procesy przetwarzania do GDPR, ponieważ nie przewidziano żadnego systemu przejściowego (zob. motyw 171). Oznacza to, że wszystkie ich procesy muszą być zgodne do 25 maja 2018 roku. Nie będą one już musiały deklarować przetwarzania danych, ale będą musiały być w stanie wykazać, że spełniają wymogi GDPR. Ponadto państwa członkowskie muszą podjąć środki w celu wdrożenia GDPR. Po trzecie, GDPR będzie bezpośrednio obowiązywać od 25 marca 2018 r. W art. 99 przypomina się, że GDPR "wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich".

Opcje Wielkiej Brytanii przed Brexitem

Wielka Brytania ma dwie opcje dotyczące GDPR przed Brexitem. Oba te czynniki będą miały nieuchronny wpływ na ochronę danych po Brexicie.

  • Zjednoczone Królestwo może wystąpić o niewdrażanie GDPR. Pierwsze rozwiązanie będzie wymagało zmiany GDPR lub powinno być częścią przyszłych negocjacji, jak sugeruje Christopher Kuner i inni autorzy. Jest to bardzo mało prawdopodobne. Rządy będą miały "ważniejsze inicjatywy legislacyjne, którymi będą musiały się zająć". Wielka Brytania może wdrożyć GDPR. Drugie rozwiązanie sprawi, że przepisy GDPR staną się częścią "dorobku prawnego". Z technicznego punktu widzenia wdrożenie GDPR w Zjednoczonym Królestwie powinno prowadzić w tym kontekście do skorzystania z możliwości wdrożenia GDPR o powtarzalnej treści, tj. włączenia elementów tego rozporządzenia do brytyjskiej ustawy o ochronie danych. Nie powinno to doprowadzić do przekształcenia GDPR w prawo krajowe przed Brexitem. Możliwość ta została przewidziana w motywie 8 "w przypadku, gdy niniejsze rozporządzenie przewiduje specyfikacje lub ograniczenia przepisów przez prawo państwa członkowskiego" oraz "gdy jest to niezbędne dla zapewnienia spójności i zrozumienia przepisów krajowych dla osób, do których mają one zastosowanie". Ponadto Zjednoczone Królestwo powinno skorzystać z możliwości deklaratywnego odesłania do GDPR w brytyjskiej ustawie o ochronie danych.

Można również stwierdzić, że sektor prywatny również stoi przed dwoma wyborami:

  • Przechowywanie przetwarzania danych w UE, a nie w Wielkiej Brytanii i pełne wdrożenie GDPR. Niektóre przedsiębiorstwa amerykańskie już to zrobiły po unieważnieniu Safe Harbour. Media wspomniały już o przeniesieniu pracowników lub zakładów z Wielkiej Brytanii do krajów europejskich, jak na przykład HSBC lub Loyds. Pozostanie w Wielkiej Brytanii, ale jak już wspomnieliśmy, prawdopodobnie doprowadzi to do wdrożenia GDPR przed Brexitem.

Autor

Bartosz Kruczyński

Redakcja szkola-lukasz.pl

Zobacz również

Kontakt

E-mail: kontakt@szkola-lukasz.pl

Skorzystaj z naszego doświadczenia związanego ze wsparciem i rozwojem firm

Jak przygotować wniosek o dotacje unijne?
Jakie warunki trzeba spełniać ubiegając się o dofinansowanie?
W jaki sposób rozwinąć swój biznes?

Odpowiedź na te i inne pytania znajdziesz tylko na naszym portalu