Do końca tego roku w ochronie danych osobowych w Wlk. Brytanii nic się nie zmieni. Będzie  nadal tak, jakby kraj ten być częścią UE. To wynika z umowy o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej (2019/C 384 I/01). Jednak krótka zapowiedź premiera Borisa Johnsona o własnej polityce ochrony danych może mieć bardzo znaczące skutki dla biznesu. 1 stycznia 2021 roku wszystko może się zmienić, i firmy powinny być czujne, zarówno brytyjskie, które świadczą usługi dla obywateli z krajów UE, jak i polskie, które oferują produkty cyfrowe mieszkańcom wysp oraz te, które transferują tam dane.

 


Wielka Brytania wolna od RODO

Do niedawna mówiło się, że po minięciu okresu przejściowego Wlk. Brytania zachowa unijne normy RODO w prawie krajowym. Tak miało być, gdyby doszło do twardego Brexitu, co wynikało m.in.: ze stanowiska brytyjskiego ministerstwa odpowiedzialnego za cyfryzację (The Department for Digital, Culture, Media & Sport, DCMS). 3 lutego do Parlamentu Brytyjskiego wpłynęło jednak pismo premiera Borisa Johnsona, z którego wynika wprost, że Wielka Brytania opracuje własną politykę ochrony danych osobowych. Premier zapewnił, że rząd będzie dążył do utrzymania wysokich standardów, ale póki co nie wiadomo jakich. Za to na początku stycznia Nicky Morgan, szefowa DCMS zapowiedziała, że postara się odblokować moc danych. Co to oznacza w praktyce dla firm?

ICO już nie pomoże zrozumieć RODO

Przede wszystkim prawnicy zwracają uwagę na zmianę rangi Information Commissioner's Office Case Team (ICO), czyli brytyjskiego odpowiednika naszego Urzędu Ochrony Danych Osobowych. ICO postrzegane jest jako przyjazny urząd, mimo że chce nałożyć najwyższe kary za naruszenie RODO, jedną na  British Airways, a drugą na spółkę Marriott.  Jednocześnie jednak ICO publikuje bardzo dobre wyjaśnienia, przewodniki i dokumenty, z których korzystają także polskie firmy.

Czytaj w LEX: Opinia Europejskiego Inspektora Ochrony Danych (EDPS) odnośnie oceny skutków i jej praktyczne znaczenie dla IOD >

- ICO jest najbardziej potężnym organem, z dużym budżetem i kadrą, a co najważniejsze prezentującym zdroworozsądkowe, anglosaskie podejście do ochrony danych, uwzględniające kontekst – uważa dr Mirosław Gumularz, radca prawny, partner w kancelarii  GKK Gumularz Kozik. Gdy minie okres przejściowy, przestanie mieć wpływ na Europejską Radę Ochrony Danych. Gdyby nowe prawo w UK miało ten sam kształt co RODO, można byłoby się chociaż odwoływać do ich poglądów. Jeśli nie będzie, stracimy cenny punkt odniesienia. Warto też zauważyć, że gdy nasz urząd zastanawia się jak przetwarzać dane uczniów, ICO pracuje nad dokumentem związanym z przetwarzaniem danych w bigdata i sztuczną inteligencję, czy tworzy ogromny, bo mający ponad 100 stron przewodnik po przetwarzaniu danych dzieci w sieci  – tłumaczy Mirosław Gumularz.

Czytaj w LEX: Marketing bezpośredni a RODO >

Jako przykłady dobrych praktyk prawnicy wskazują jeszcze przewodnik po RODO, przewodnik po DPIA wraz z formularzami i wzorami oraz przewodnik po ciasteczkach (cookies). Z wypowiedzi Nicky Morgan wynika jednak, że Wielka Brytania inaczej niż w RODO ureguluje ochronę danych. W efekcie nie będzie można liczyć na dorobek ICO. Za to może się okazać, że to na Wyspach warto zakładać firmy technologiczne.

Czytaj w LEX: Zapłata danymi osobowymi - co musisz wiedzieć o nowej dyrektywie o dostarczaniu treści cyfrowych i usług cyfrowych >

Wlk. Brytania przyciągnie firmy technologiczne

Dr Mirosław Gumularz ocenia, że Boris Johnson składając taką deklarację liczy na przyciągnięcie korporacji z USA oraz start-upów, które chcą rozwijać sztuczną inteligencję (AI). AI bazuje na ogromnej ilości danych – im ma ich więcej, tym szybciej się uczy. Problem w tym, że RODO utrudnia dostarczanie danych, bo wymusza pozbawienie ich wszelkich oznaczeń pozwalających na identyfikację użytkowników. – Anonimizacja oznacza zubożenie danych, co z perspektywy uczenia maszynowego jest niekorzystne – mówi Barbara Sawina z Polskiej Izby Informatyki i Telekomunikacji. Wlk. Brytania ma zaś szansę przygotować takie regulacje, które ułatwią przetwarzanie posiadanych informacji na potrzeby rozwoju sztucznej inteligencji, czy internetu rzeczy. Mirosław Gumularz zwraca uwagę na jeszcze jeden aspekt. Nowe  przepisy mogą też przewidywać niższe kary za naruszenie ochrony danych, co też może skłonić firmy do inwestowania w Wlk. Brytanii.

Czytaj w LEX: Strona internetowa zgodna z przepisami o ochronie danych osobowych >

 


Nowy porządek prawny dla świadczących usługi on-line

Z punktu widzenia firm problemem będzie również to, że po 1 stycznia 2021 roku Wlk. Brytania stanie się tzw. krajem trzecim.  - To oznacza, że firmy, które transferują dane na Wyspy, muszą zadbać o jego legalność, np. podpisując umowę w oparciu o standardowe klauzule przygotowane przez KE. Być może w ramach współpracy UE-WB powstanie mechanizm zbliżony do Privacy Shield umożliwiający legalny transfer do wybranych podmiotów z WB, bez dodatkowych formalności po stronie firm z UE – zauważa dr Gumularz. A to nie jedyny problem. Polskie firmy świadczące usługi w Wilk. Brytanii, czy kierujące swoje usługi do tego obszaru prawnego, będą musiały dostosować się do nowych zasad. 

Czytaj w LEX: Zasady udostępniania danych osobowych innym podmiotom >

– Świadczenie usług on-line nie ma granic terytorialnych, o ile regulują je jednolite zasady. Tak miało być w Unii, ale już tu pojawiają się sprzeczne przepisy, czego przykładem może być nasza ustawa o świadczeniu usług drogą elektroniczną. Za niecały rok może się jednak okazać, że dojdzie im kolejny porządek prawny, do którego będzie trzeba dostosować systemy i procesy - mówi dr Mirosław Gumularz. Z kolei brytyjskie firmy, które chcą świadczyć usługi dla obywateli UE będą musiały, zadbać o przedstawicielstwo na terenie Unii. To tam bowiem będą wpływać wszelkie skargi na naruszenie RODO. W efekcie krótka zapowiedź premiera Johnsona może mieć bardzo znaczące skutki dla biznesu.

Czytaj w LEX: Okiem IOD-a: nowoczesne formy marketingu w świetle przepisów RODO >