Dnia 28 czerwca 2021 r. Komisja Europejska przyjęła dwie decyzje wykonawcze potwierdzające, że Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej zapewnia odpowiedni poziom ochrony danych osobowych równoważny z poziomem gwarantowanym na mocy ogólnego rozporządzenia o ochronie danych nr 2016/679 (dalej „RODO”).
Z powodu Brexitu Wielka Brytania przestała być objęta unijnym porządkiem prawnym. Dla innych państw członkowskich Wielka Brytania stała się więc państwem trzecim, co stawiało pod znakiem zapytania transfer danych pomiędzy Unią Europejską a Wielką Brytanią. Zgodnie bowiem z art. 44 RODO przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy administrator i podmiot przetwarzający spełnią warunki określone w rozdziale V RODO, tj. przekazanie danych następuje na podstawie decyzji stwierdzającej odpowiedni stopień ochrony, a w przypadku braku takiej decyzji z zastrzeżeniem odpowiednich zabezpieczeń lub na podstawie szczegółowych przepisów RODO.
W okresie przejściowym, tj. od 1 stycznia do maksymalnie 30 czerwca 2021 r. zastosowanie znajdowała umowa o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej. Na podstawie tej umowy, a konkretnie tzw. klauzuli pomostowej zawartej w postanowieniach końcowych ww. umowy, przekazywanie danych z EOG do Wielkiej Brytanii nie było traktowane jako przekazywanie danych do państwa trzeciego.
Wydanie przez Komisję Europejską decyzji stwierdzających odpowiedni poziom ochrony danych osobowych pozwoli zaangażowanym w przekazywanie danych osobowych pomiędzy Unią Europejską a Wielką Brytanią dokonywać transferów w oparciu właśnie o to narzędzie prawne. Decyzje Komisji Europejskiej umożliwiają swobodne przekazywanie danych z Europejskiego Obszaru Gospodarczego bez konieczności uzyskiwania specjalnego zezwolenia, czy innych formalności stosowanych przez strony umowy obejmującej przekazywanie danych do państw trzecich. Do wydania decyzji o adekwatności ochrony danych dla Wielkiej Brytanii, Komisja Europejska musiała dokonać analizy porządku prawnego tego państwa, obejmującej przepisy dotyczące praw podmiotów danych, ograniczenia oraz zabezpieczenia w zakresie dostępu organów publicznych do danych osobowych oraz gwarancje zapewniające stopień ochrony, który powinien zasadniczo odpowiadać stopniowi ochrony zapewnianemu w Unii Europejskiej. W wyniku analizy stwierdzono, że brytyjski system ochrony danych nadal opiera się na tych samych zasadach, które obowiązywały, gdy Wielka Brytania była państwem członkowskim Unii Europejskiej. Wielka Brytania w pełni włączyła zasady, prawa i obowiązki wynikające z RODO do swojego systemu prawnego po Brexicie.
Decyzje Komisji Europejskiej weszły w życie 28 czerwca 2021 r. Zostały one wydane na czas określony trwający cztery lata – do 27 czerwca 2025 r. Czas obowiązywania decyzji może być przedłużony, jeżeli odpowiedni poziom ochrony danych osobowych nadal będzie zachowany.
Możliwość swobodnego przekazywania danych do Wielkiej Brytanii nie wyłącza konieczności zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych. Pomimo wydania decyzji przez Komisję Europejską, przekazywanie danych osobowych do Wielkiej Brytanii oznacza przekazywanie danych osobowych do państwa trzeciego. W takim przypadku administratorzy danych osobowych powinni odpowiednio zmodyfikować stosowane klauzule informacyjne oraz dokumentację przetwarzania danych osobowych, tak aby ta okoliczność została w nich odzwierciedlona. Natomiast administratorzy mający siedzibę w Wielkiej Brytanii, którzy prowadzą działalność obejmującą czynności przetwarzania wiążące się z oferowaniem towarów lub usług osobom, których dane dotyczą w Unii Europejskiej lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii, są zobowiązani do wyznaczenia swojego przedstawiciela na terenie Unii Europejskiej.
