Projekt decyzji o odpowiednim poziomie ochrony danych w Wielkiej Brytanii: EROD przyjmuje opinie
Podczas ostatniego posiedzenia plenarnego Europejska Rada Ochrony Danych (EROD) przyjęła dwie opinie dotyczące projektów decyzji Komisji Europejskiej ws. przedłużenia ważności decyzji o odpowiednim poziomie ochrony danych dla Wielkiej Brytanii na podstawie ogólnego rozporządzenia o ochronie danych oraz dyrektywy w sprawie egzekwowania prawa (LED) do grudnia 2031 r.
Opinie EROD, o które zwróciła się Komisja zgodnie z art. 70 ust. 1 lit. s RODO oraz art. 51 ust. 1 lit. g LED, dotyczą proponowanego sześcioletniego przedłużenia dwóch decyzji, które mają wygasnąć w grudniu 2025 r.
Przedłużenie ważności decyzji umożliwi organizacjom i właściwym organom z siedzibą w Europie dalsze przekazywanie danych do podmiotów i organów z siedzibą w Wielkiej Brytanii bez konieczności wdrażania dodatkowych zabezpieczeń.
–EROD z zadowoleniem przyjmuje utrzymującą się zgodność między ramami ochrony danych w Wielkiej Brytanii i Europie mimo ostatnich zmian w brytyjskim systemie prawnym. Wzywam Komisję Europejską do uwzględnienia punktów wskazanych przez Radę oraz zapewnienia skutecznego monitorowania po przyjęciu decyzji. Wzmocni to trwałość decyzji o odpowiednim poziomie ochrony i zapewni większą pewność prawną dla organizacji i organów przekazujących dane osobowe z Europy do Wielkiej Brytanii – powiedziała przewodnicząca EROD AnuTalus.
Opinia dotycząca RODO
Zdaniem Rady większość zmian wprowadzonych do brytyjskich przepisów o ochronie danych ma na celu ich doprecyzowanie i ułatwienie zgodności z prawem. Niektóre aspekty projektu decyzji wymagają jednak dalszego wyjaśnienia.
EROD zachęca Komisję Europejską do dalszej analizy i monitorowania zmian wynikających z ustawy o uchyleniu i reformie prawa UE (Retained EU Law – Revocation and Reform Act 2023), znanej jako ustawa REUL, w szczególności usunięcia zasady nadrzędności prawa Unii oraz bezpośredniego stosowania zasad prawa UE.
Rada zauważa, że Sekretarz Stanu otrzymał nowe uprawnienia do wprowadzania zmian w nowym systemie ochrony danych poprzez regulacje wtórne, które wymagają mniejszej kontroli parlamentarnej. Dotyczy to m.in. transferów międzynarodowych, zautomatyzowanego podejmowania decyzji oraz zarządzania brytyjskim organem nadzorczym – Information Commissioner’s Office (ICO). EROD zachęca Komisję do wskazania w ostatecznej decyzji obszarów, które będą podlegać szczególnemu monitorowaniu, aby ograniczyć ryzyko rozbieżności.
Rada zachęca również Komisję do pogłębienia oceny i monitorowania zasad dotyczących transferów danych z Wielkiej Brytanii do państw trzecich. Nowy test adekwatności, wprowadzony ustawą o danych (Data Use and Access Act, 2025), wymaga, aby poziom ochrony w państwie trzecim nie był istotnie niższy niż ten zapewniany przez brytyjskie przepisy, ale nie odnosi się do ryzyka dostępu ze strony rządu, dostępnych środków odwoławczych dla osób fizycznych ani potrzeby istnienia niezależnego organu nadzorczego.
Komisja powinna także ocenić i monitorować domniemane stosowanie przez rząd Wielkiej Brytanii tzw. Notices of Technical Capability (TCN), które zobowiązują firmy do obchodzenia szyfrowania, co może prowadzić do systemowych luk i zagrozić integralności oraz poufności komunikacji elektronicznej.
Na koniec EROD wzywa Komisję do dalszej oceny i monitorowania zmian w strukturze ICO oraz wykonywania jego uprawnień naprawczych. W tym kontekście Rada pozytywnie ocenia politykę przejrzystości ICO oraz dostępność danych statystycznych i analitycznych dotyczących jego działań egzekucyjnych.
Nowe decyzje o odpowiednim poziomie ochrony będą uzupełnieniem decyzji z 2021 r., które nadal będą obowiązywać w obszarach nieobjętych projektem z 2025 r. EROD opiera się na swoich opiniach z 2021 r. (14/2021 i 15/2021). W szczególności bliska zgodność między ramami RODO a brytyjskim systemem prawnym w kluczowych obszarach, podkreślona w 2021 r., pozostaje aktualna (np. przejrzystość, prawa osób, których dane dotyczą, oraz szczególne kategorie danych).
Opinia dotycząca LED
EROD z zadowoleniem przyjmuje utrzymującą się zgodność między ramami ochrony danych w Europie i Wielkiej Brytanii oraz zachęca Komisję do uzupełnienia oceny o aspekty dotyczące wyjątków związanych z bezpieczeństwem narodowym. Takie wyjątki mogą uchylać większość zasad ochrony danych oraz niektóre zasady transferów międzynarodowych dla organów ścigania, a także ograniczać uprawnienia kontrolne i egzekucyjne ICO.
Rada zachęca Komisję do analizy brytyjskich zasad dotyczących transferów danych osobowych do państw trzecich, w szczególności nowego testu adekwatności, w sposób analogiczny do opinii dotyczącej RODO.
EROD zwraca też uwagę na bardziej liberalne podejście do zautomatyzowanego podejmowania decyzji oraz nowe uprawnienia przyznane Sekretarzowi Stanu w tym zakresie. Rada przypomina o znaczeniu istotnej kontroli ludzkiej i wzywa Komisję do wyjaśnienia oraz monitorowania możliwych wyjątków od prawa jednostki do uzyskania interwencji człowieka.
Na koniec EROD zauważa, że system nadzoru nad organami ścigania oraz mechanizmy odwoławcze pozostają w dużej mierze niezmienione, i ponownie podkreśla potrzebę ścisłego monitorowania przez Komisję stosowania środków naprawczych oraz dostępnych środków ochrony prawnej dla osób fizycznych w brytyjskim systemie ochrony danych.
Źródło:
Komunikat Europejskiej Rady Ochrony Danych
Draft UK adequacy decisions: EDPB adopts opinions | European Data Protection Board
