По силата на Споразумението за търговия и сътрудничество между Обединеното кралство и ЕС е определен период от 4+2 месеца (до 30.06.2021г.), в който трансферът на лични данни от ЕС към Обединеното кралство няма да се третира като трансфер към трета страна. На 19.02.2021г. Европейската комисия прие проект на решение за адекватно ниво на защита на личните данни (Решението), предоставяно от Обединеното кралство. В случай че такова бъде прието до края на м. юни, 2021, трансферът на данни към Острова може да продължи без специално разрешение от надзорните органи или други формалности, освен стандартните изисквания при предаване на лични данни в Съюза. И докато вероятно всички заинтересовани се надяваха финалното му утвърждаване да стане факт, на 20-ти май Европейският парламент гласува предложение до Европейската комисия за необходимостта от внасянето на изменения в предложеното Решение (подобно бе и заключението на Европейския комитет по защита на данните(ЕКЗД)). Главните притеснения и на Парламента, и на ЕКЗД са, че към момента законодателството в Кралството не предоставя такова ниво на сигурност на личните данни, както се изисква от законодателството в сферата на личните данни.
Може ли въпреки това да бъде прието решение за адекватно ниво на защита? Този въпрос възниква, тъй като към момента законодателството на Обединеното кралство предвижда, че властите на Острова могат да задължат доставчиците на електронни комуникационни услуги да извършват общо и неизбирателно предаване на данни за трафик и на данни за местонахождение на службите за сигурност и разузнавателните служби – практика, която беше оценена като несъответстваща на европейското законодателство за защита на данните от Съда на ЕС в Решението му 6-ти Октомври, 2020, по дело C-623/17.
Как ще продължим да предаваме данни към Обединеното кралство след 1-ви юли, ако все пак нямаме решение за адекватно ниво на защита? В подобен случай трансферът може да продължи, ако са осигурени подходящи гаранции за сигурността на данните – такива са задължителните фирмени правила, стандартните договорни клаузи или одобрен кодекс за поведение. Трансферът може да се осъществи и при липса на решение за адекватно ниво на защита и подходящи гаранции, в случай че са налице някои от особените случаи, в които тези изисквания се дерогират, съгласно чл. 49 от Общия регламент за защита на данните (ОРЗД). Дерогация може да има, например:
- при изрично съгласие на субекта на данни за осъществяване на трансфера,
- когато е необходимо за изпълнението на договор между субекта на данните и администратора,
- в случай на важни причини от обществен интерес,
- когато е необходимо за установяването, упражняването или защитата на правни претенции или
- защита на жизненоважни интереси на субекта на данни.
Най-често използваният инструмент за осигуряване на подходящи гаранции за защита в случай на трансфер са споразуменията, които инкорпорират Стандартните договорни клаузи (СДК). Последните СДК бяха приети на 7-ми Юни, 2021 (като ще влязат в сила на 27-ми юни, 2021) от Европейската комисия и могат лесно да бъдат адаптирани към всяка разновидност на отношенията, доколкото проектът е структуриран в 4 отделни модула (за трансфери администратор към администратор, администратор към обработващ, обработващ към администратор и обработващ към обработващ) в зависимост от различните вариации на правното положение на страните. СДК съдържат не само задължения за страните, но и права за субектите, чиито данни са обект на предаване. Тези субекти могат директно да се позоват на правата, които им се представят, срещу вносителя и износителя на данни.
Към момента не е ясно дали решението за адекватно ниво на защита в полза на Кралството ще стане окончателно. Дори и да бъде прието обаче същото може да бъде оспорено пред Съда на ЕС и съответно отменено или пък да бъде отменено, изменено или действието му да бъде спряно ако Европейската комисия прецени, че Обединеното кралство не предоставя адекватно ниво на защита на данните.
