„Adekwatność” Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej w zakresie RODO. Decyzje Komisji Europejskiej z 28 czerwca 2021 r.

Dnia 28 czerwca 2021 r. zostały wydane dwie decyzje Komisji Europejskiej dotyczące transferów danych osobowych do Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej[1]:

• decyzja Komisji (UE) 2021/1772 wydana na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679[2], stwierdzająca odpowiedni stopień ochrony danych osobowych przez Zjednoczone Królestwo[3],
• decyzja Komisji (UE) 2021/1773 wydana na podstawie dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680[4], stwierdzająca odpowiedni stopień ochrony danych osobowych przez Zjednoczone Królestwo[5].

Należy skupić się na pierwszej decyzji, wydanej na podstawie rozporządzenia (UE) 2016/679 (RODO), a konkretnie art. 45 RODO, bowiem to właśnie ta decyzja ma znaczenie dla przedsiębiorców, w szczególności, gdy współpracują oni z klientami lub kontrahentami z Wielkiej Brytanii.

Wydanie decyzji o adekwatności wiąże się z tym, że od 1 lipca 2021 r. obowiązują nowe zasady przekazywania danych osobowych do Wielkiej Brytanii. W efekcie brexitu Wielka Brytania opuściła Unię Europejską, a tym samym unijny porządek prawny. Od 1 stycznia 2021 r. do 1 lipca 2021 r. trwał okres przejściowy, który oznaczał, że Wielką Brytanię traktowaliśmy w dalszym ciągu jako państwo należące do Unii Europejskiej[6], co nie wymagało stosowania dodatkowych obowiązków dotyczących transferu danych. Od 1 lipca 2021 r. Wielka Brytania jest więc traktowana jako tzw. państwo trzecie w rozumieniu RODO, co powoduje, że każda operacja przekazania tam danych osobowych wymaga przyjęcia instrumentu prawnego wskazanego w rozdziale V RODO, pozwalającego na legalne przekazanie danych, czyli transfer danych do państwa trzeciego.

Przed wystąpieniem i w okresie przejściowym ramy prawne dotyczące ochrony danych osobowych w Wielkiej Brytanii składały się z odpowiednich przepisów unijnych (w tym przede wszystkim przepisy RODO) oraz ustawodawstwa krajowego, zwłaszcza ustawy o ochronie danych z 2018 r. (Data Protection Act 2018, „DPA 2018”). DPA 2018 doprecyzowywała przepisy krajowe, ograniczała stosowanie przepisów RODO w dozwolonych przez RODO przypadkach oraz wdrażała dyrektywę (UE) 2016/680.

Jakie przepisy regulują obecnie kwestie ochrony danych osobowych w Wielkiej Brytanii?

Przed wystąpieniem z Unii rząd Wielkiej Brytanii przygotował Ustawę o wystąpieniu z Unii Europejskiej z 2018 r.[7] Jej celem było to, aby część przepisów Unii, w tym RODO, były w dalszym ciągu częścią prawa Wielkiej Brytanii. Inaczej mówiąc, na mocy tej ustawy, RODO zostało wprowadzone do porządku prawnego Wielkiej Brytanii, tak aby obowiązywało również po wyjściu Wielkiej Brytanii z Unii Europejskiej.

Dodatkowo do prawnego porządku Wielkiej Brytanii wprowadzono istotny akt prawny, to jest Rozporządzenie w sprawie ochrony danych, prywatności i łączności elektronicznej.[8] Rozporządzeniem tym zmieniono m. in. implementowane treści RODO oraz DPA 2018 w celu dostosowania ich do kontekstu krajowego.

A zatem od 1 lipca 2021 r. ramy prawne dotyczące ochrony danych osobowych w Zjednoczonym Królestwie obejmują:

• RODO UK, czyli wersja RODO do której zmiany wprowadzono Rozporządzeniem w sprawie ochrony danych, prywatności i łączności elektronicznej[9];
• DPA 2018[10], zmieniona również Rozporządzeniem w sprawie ochrony danych, prywatności i łączności elektronicznej.

Ponieważ RODO UK opiera się na przepisach UE, regulacje dotyczące ochrony danych w Wielkiej Brytanii w wielu aspektach ściśle odzwierciedlają te, które mają zastosowanie w Unii Europejskiej.

Wspomniane zmiany RODO UK i DPA 2018 mają przede wszystkim charakter techniczny, jak np. usunięcie odniesień do „państw członkowskich” lub dostosowanie terminologii, np. zastąpienie odniesień do rozporządzenia (UE) 2016/679 odniesieniami do RODO UK.

Komisja Europejska uważnie przeanalizowała prawo i praktykę Wielkiej Brytanii, w tym zasady dotyczące przetwarzania danych. Stwierdziła m. in, że:

• definicje danych osobowych, pojęć administratora i podmiotu przetwarzającego są zachowane bez istotnych zmian;
• zagwarantowana została zasada zgodności z prawem i rzetelnego przetwarzania,
• w dalszym ciągu istnieją przepisy zapewniające właściwe zabezpieczenia przy przetwarzaniu danych szczególnej kategorii;
• niezmienione zostały zasady dotyczące ograniczenia celu, prawidłowości, minimalizacji danych, ograniczenia przechowywania i bezpieczeństwa danych, przejrzystości;
• przepisy zapewniające prawa osób fizycznych utrzymano w RODO UK bez istotnych zmian.

Na uwagę zasługują zasady dalszego przekazywania danych z Wielkiej Brytanii do odbiorców z państw trzecich. System międzynarodowego przekazywania danych osobowych z Wielkiej Brytanii określono w art. 44–49 RODO UK, które zostały uzupełnione w DPA 2018. Zgodnie z tymi przepisami przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może odbywać się wyłącznie na podstawie rozporządzenia stwierdzającego odpowiedni stopień ochrony (obowiązujący w Zjednoczonym Królestwie odpowiednik decyzji o adekwatności wydawanej na podstawie art. 45 RODO) lub – w przypadku braku takiego rozporządzenia – pod warunkiem zapewnienia odpowiednich zabezpieczeń zgodnie z art. 46 RODO UK. W przypadku braku rozporządzenia stwierdzającego odpowiedni stopień ochrony lub odpowiednich zabezpieczeń, przekazywanie danych może nastąpić wyłącznie na podstawie wyjątków określonych w art. 49 RODO UK. Powyższe oznacza, że system międzynarodowego przekazywania danych osobowych z Wielkiej Brytanii jest zasadniczo identyczny z zasadami określonymi w rozdziale V RODO.

Mimo że decyzja została wydana, to Komisja miała na względzie, że planowane jest zawarcie przez Zjednoczone Królestwo oraz USA umowy o dostępie do danych elektronicznych w celu zwalczania poważnej przestępczości[11]. Po wejściu w życie tego dokumentu, dane przekazywane z UE do dostawców usług w Zjednoczonym Królestwie mogą podlegać nakazom wydania elektronicznego materiału dowodowego wydanym przez właściwe organy ścigania USA, które będą stosowane w Zjednoczonym Królestwie. Komisja podkreśliła w decyzji, że istotna będzie ocena warunków, na jakich takie nakazy mogą być wydawane, oraz określenie zasad zabezpieczenia służących ochronie danych osobowych.

Ponieważ ewentualne wejście w życie umowy może mieć wpływ na stopień ochrony oceniany w decyzji, Zjednoczone Królestwo powinno przekazywać Komisji Europejskiej wszelkie informacje i wyjaśnienia jeszcze przed zawarciem umowy z USA.

Opinia Europejskiej Rady Ochrony Danych (EROD)

Projekt decyzji był opiniowany przez Europejską Radę Ochrony Danych (EROD), czyli organ, którego zadaniem jest m.in. doradzanie Komisji w sprawach związanych z ochroną danych osobowych. W swojej opinii nr 14/2021 w sprawie projektu decyzji stwierdzającej odpowiedni stopień ochrony zapewnianej przez Zjednoczone Królestwo[12], EROD wyraził zadowolenie z propozycji treści projektu decyzji KE w zakresie poziomu ochrony danych osobowych w Wielkiej Brytanii.

Jednocześnie EROD podkreślił, że z zadowoleniem przyjął decyzję Komisji o ograniczeniu w czasie decyzji stwierdzającej odpowiedni stopień ochrony, a także jej zamiar ścisłego monitorowania rozwoju sytuacji w Wielkiej Brytanii[13].  EROD zachęcił również Komisję Europejską do uważnego monitorowania wszystkich istotnych wydarzeń w Wielkiej Brytanii, które mogą mieć wpływ na odpowiedni poziom ochrony danych osobowych oraz do szybkiego reagowania  w razie potrzeby.

Państwo „adekwatne” a tzw. państwo trzecie

Wydanie decyzji o adekwatności przez Komisję Europejską oznacza, że obecnie Wielka Brytania zachowuje opinię kraju, do którego można bezpiecznie transferować dane osobowe. Ten aspekt jest kluczowy dla przedsiębiorców z Unii Europejskiej, a także Wielkiej Brytanii, których działalność wiąże się z koniecznością transgranicznego przekazywania danych osobowych.

Uznanie Zjednoczonego Królestwa  za zapewniające odpowiedni poziom ochrony danych osobowych umożliwia swobodne przekazywanie danych z Europejskiego Obszaru Gospodarczego (27 państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia) bez konieczności podejmowania dodatkowych czynności mających na celu zapewnienie legalnego transferu danych do państwa trzeciego.

W przypadku gdy Państwo trzecie nie jest uznane przez Komisję na podstawie wydanej decyzji jako zapewniające odpowiedni stopień ochrony (tak jak obecnie USA[14]), wówczas konieczne jest zastosowanie innego instrumentu prawnego. W praktyce sprowadza się to do powołania na:

• standardowe klauzule umowne, przyjęte lub zatwierdzone przez Komisję UE – implementowane do umów dotyczących transferu danych osobowych;
• wiążące reguły korporacyjne (polityki ochrony danych osobowych o charakterze wewnątrzorganizacyjnym, ustanawiane na poziomie międzynarodowych grup kapitałowych).

W praktyce dla przedsiębiorców z sektora MŚP, o ile nie są one częścią międzynarodowej grupy kapitałowej, realnie możliwym do zastosowania instrumentem, są standardowe klauzule umowne. Zastosowanie standardowych klauzul umownych nie jest jednak wystarczające. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku w sprawie Schrems II[15] wskazał bowiem, że oprócz zastosowania jednego ze wskazanych instrumentów prawnych, w dalszym ciągu należy zweryfikować prawo lub praktyki państwa trzeciego pod względem tego, czy wywierają negatywny wpływ na skuteczność zabezpieczeń zawartych w jednym z zastosowanych narzędzi z art. 46 RODO (czyli m.in. wspomniane standardowe klauzule). Gdyby taki negatywny wpływ istniał, to należy wdrożyć dodatkowe środki uzupełniające[16].

Wyrok w sprawie Schrems II pokazał zatem, jak ważne w kontekście transferu danych osobowych jest wydanie decyzji o adekwatności Wielkiej Brytanii. Powołując się bowiem na decyzję o adekwatności, przedsiębiorcy transferując dane do Wielkiej Brytanii nie muszą podejmować takich czynności, jak implementowanie do umowy standardowych klauzul umownych, ocena praktyk i prawa państwa trzeciego oraz stosowanie dodatkowych środków uzupełniających, aby zabezpieczyć transfer danych.

Decyzja o adekwatności wydana przez Komisję Europejską zdecydowanie uprościła sposób transferowania danych do Wielkiej Brytanii. Decyzja stanowi bowiem wystarczający instrument prawny legalizujący transfer danych do państwa trzeciego, jakim jest aktualnie Wielka Brytania. Nie ma więc konieczności podejmowania dodatkowych czynności związanych z transferem, poza monitorowaniem, czy decyzja o adekwatności wydana wobec Wielkiej Brytanii jest nadal ważna.

Okres „adekwatności” Wielkiej Brytanii i co to oznacza w praktyce?

Obie decyzje weszły w życie 28 czerwca 2021 r. i zostały wydane na czas określony wynoszący cztery lata. Oznacza to, że będą obowiązywały do 27 czerwca 2025 r., a przedłużenie ich obowiązywania będzie wymagać ponownej oceny. Jeżeli zatem w okresie czterech lat Zjednoczone Królestwo będzie nadal zapewniać odpowiedni poziom ochrony danych osobowych, Komisja Europejska może postanowić o przedłużeniu obowiązywania tych decyzji.

Należy zauważyć, że Komisja Europejska zdecydowała się w tym przypadku na zastosowanie precedensowego rozwiązania. Wydanie decyzji o adekwatności na określony czas ma swoje uzasadnienie. Wielka Brytania zamierza bowiem, wykorzystując swoją niezależność, zreformować swój system ochrony danych osobowych.

Brytyjski rząd poinformował bowiem, że 10 września 2021 r. rozpoczęły się konsultacje w sprawie przyszłego kształtu systemu ochrony danych osobowych w Wielkiej Brytanii. Konsultacje te mają potrwać 10 tygodni i zakończyć się 19 listopada 2021 r.[17] Dyskusja dotyczy między innymi dotychczas stosowanych rozwiązań prawnych wynikających z RODO, ustawy o ochronie danych osobowych (Data Protection Act).

Rząd brytyjski zapewnia, że chce wprowadzić „jeszcze lepszy” system ochrony danych, który wspiera gospodarkę cyfrową Wielkiej Brytanii. Celem reform według rządu brytyjskiego jest stworzenie systemu ochrony danych, sprzyjającego wzrostowi i innowacjom. Rząd brytyjski również wprost wskazał, że dane stanowią zasób strategiczny i jego odpowiedzialne wykorzystanie należy postrzegać jako ogromną szansę[18].

Rząd brytyjski wskazał na niektóre niedociągnięcia obecnego systemu ochrony danych osobowych (bazującego na unijnym prawodawstwie). Według rządu brytyjskiego obecnie ustalenie prawidłowych zasad udostępnienia danych może być zbyt skomplikowane i może utrudniać sprawne ich wdrożenie. Niektóre obecne zasady i wytyczne są według rządu brytyjskiego zbyt niejasne albo uregulowane w sposób nadmiarowy.

Celem rządu brytyjskiego jest zatem wprowadzenie jasnych zasad, które ułatwią wykorzystanie danych w sposób innowacyjny, jak choćby przy wykorzystaniu sztucznej inteligencji. Jednocześnie nowe brytyjskie przepisy z zakresu ochrony danych osobowych mają w większości opierać się na RODO. Dotyczyć to ma między innymi zasad przetwarzania danych osobowych, poszczególnych uprawnień osób fizycznych, jak również stosowanych mechanizmów nadzoru nad administratorami i egzekwowania stosowania przepisów prawa. Rząd brytyjski wskazuje, że te kluczowe elementy nadal będą stanowić fundament systemu ochrony danych osobowych w Wielkiej Brytanii.

Mając więc na uwadze fakt, że Wielka Brytania reformuje system ochrony danych, zrozumiałe jest, że decyzja o adekwatności jest wydana na określony czas. Komisja będzie więc stale monitorować system ochrony danych osobowych w Wielkiej Brytanii, na którym opiera się wydana decyzja (w tym warunków, na jakich odbywa się dalsze przekazywanie danych, wykonywanie praw indywidualnych oraz uzyskiwanie przez organy publiczne Zjednoczonego Królestwa dostępu do danych), w celu ustalenia, czy Zjednoczone Królestwo nadal zapewnia odpowiedni stopień ochrony.

Od tego, w jakim kierunku pójdzie Wielka Brytania ze zmianami swojego systemu ochrony danych osobowych, będzie zależało, jak długo będzie można powoływać się na decyzję Komisji Europejskiej o adekwatności. Należy więc monitorować sytuację panującą w Wielkiej Brytanii.

Obowiązki, które muszą spełnić podmioty transferujące dane osobowe do Wielkiej Brytanii

Po pierwsze, nie należy zapominać, że podmioty prowadzące działalność na terenie EOG i transferujące dane do Wielkiej Brytanii, są w dalszym ciągu związane przepisami RODO. Chodzi zatem o stosowanie zasad wynikających z rozporządzenia (na przykład zasady ograniczonego celu), zapewnienie realizacji praw osobom, których dane dotyczą czy bezpieczeństwa przetwarzania. 

Po drugie pomimo wydania decyzji przez Komisję Europejską, przekazywanie danych osobowych do Wielkiej Brytanii oznacza przekazywanie danych osobowych do państwa trzeciego. W takim przypadku administratorzy danych osobowych powinni odpowiednio zmodyfikować stosowane klauzule informacyjne oraz dokumentację przetwarzania danych osobowych, tak aby uwzględniały one przekazywanie danych do państwa trzeciego oraz wskazywały właściwą podstawę transferu (decyzja Komisji Europejskiej).

Istotne jest w dalszym ciągu zapewnienie odpowiedniej podstawy prawnej przetwarzania danych przez podmiot w Wielkiej Brytanii, któremu dane zostaną udostępnione.

Decyzja stanowi instrument, pozwalający na legalny transfer danych osobowych do Wielkiej Brytanii. Należy zatem w dalszym ciągu pamiętać o zapewnieniu legalnej podstawy przekazania danych do innego administratora lub podmiotu przetwarzającego. W przypadku przekazania danych do podmiotu przetwarzającego, niezbędne jest w dalszym ciągu spełnienie obowiązku wynikającego  z art. 28 RODO, czyli zawarcia z podmiotem przetwarzającym umowy powierzenia przetwarzania danych osobowych. Natomiast w przypadku udostępnienia danych innemu podmiotowi, będącemu administratorem, konieczne jest zapewnienie legalnej podstawy prawnej przetwarzania danych przez ten podmiot (odnośnie danych zwykłej kategorii, podstawy te wskazane są w art. 6 ust. 1 RODO.

Podsumowanie

Aktualnie obowiązujące przepisy dotyczące ochrony danych osobowych w Wielkiej Brytanii są zbieżne z unijnymi przepisami i w większości przypadków odzwierciedlają przepisy RODO. Z tego względu Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony danych przez Wielką Brytanię. Wielka Brytania obecnie jednak reformuje swój system ochrony danych osobowych. Komisja Europejska zamierza więc monitorować rozwój sytuacji w Wielkiej Brytanii, co może doprowadzić do zmiany lub nawet uchylenia decyzji o adekwatności wydanej względem Wielkiej Brytanii. Wydanie decyzji zdecydowanie ułatwia transfer danych z obszaru EOG do Wielkiej Brytanii. Konieczne jest jednak monitorowanie przez przedsiębiorców, czy decyzja o adekwatności wydana wobec Wielkiej Brytanii jest nadal ważna.

Joanna Steliga

autorka jest radcą prawnym, prowadzi własną praktykę prawną w Kancelarii Radcy Prawnego Joanna Steliga (steligakancelaria.pl), specjalizuje się między innymi w zagadnieniach związanych z ochroną danych osobowych i świadczeniem usług przez internet

Przeczytaj więcej takich artykułów w strefie Wiedzy PARP

Artykuł pochodzi z Biuletynu Euro Info 9/2021

---

[1] Dalej również jako Wielka Brytania;

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[3] Decyzje; Rozporządzenie Wykonawcze Komisji (UE) 2021/1772 z dnia 28 czerwca 2021 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Zjednoczone Królestwo, (notyfikowana jako dokument nr C(2021) 4800), dostępne pod adresem: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32021D1772&from=EN

[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW

[5] Decyzja Wykonawcza Komisji (UE) 2021/1773 z dnia 28 czerwca 2021 r. na podstawie dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Zjednoczone Królestwo (notyfikowana jako dokument nr C(2021) 4801), dostępna pod adresem: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32021D1773&from=EN

[6] Od 1 stycznia 2021 r. swobodny przepływ danych między Europejskim Obszarem Gospodarczym (27 państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia) a Zjednoczonym Królestwem utrzymany był do 1 lipca 2021 r. Przewidywała to tzw. klauzula pomostowa zawarta w postanowieniach końcowych Umowy o handlu i współpracy między Unią Europejską  i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej

[7] Ustawa o wystąpieniu z Unii Europejskiej z 2018 r., dostępna pod adresem: https://www.legislation.gov.uk/ukpga/2018/16/contents.

[8] Rozporządzenie w sprawie ochrony danych, prywatności i łączności elektronicznej wprowadzające zmiany w związku z wyjściem z UE z 2019 r., dostępne pod adresem: https://www.legislation.gov.uk/uksi/2019/419/contents/made, zmienione rozporządzeniem w sprawie ochrony danych, prywatności i łączności elektronicznej z 2020 r., dostępnym pod adresem: https://www.legislation.gov. uk/ukdsi/2020/9780348213522.

[9]. Ogólne rozporządzenie o ochronie danych (General Data Protection Regulation), wersja z uwzględnieniem zmian (tzw. Keeling Schedule), dostępne pod adresem: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/ 946117/20201102_-_GDPR_-__MASTER__Keeling_Schedule__with_changes_highlighted__V3.pdf.

[10]. Ustawa o ochronie danych z 2018 r. (Data Protection Act 2018), wersja z uwzględnieniem zmian (tzw. Keeling Schedule), dostępna pod adresem: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/946100/20201102_- _DPA_-__MASTER__Keeling_Schedule__with_changes_highlighted__V3.pdf.

[11] Jest to pierwsza umowa zawarta na podstawie amerykańskiej ustawy CLOUD (określającej legalne wykorzystanie danych za granicą). Ustawa CLOUD to ustawa federalna USA, którą przyjęto w dniu 23 marca 2018 r. i w której określono, w drodze zmiany ustawy z 1986 r. o przechowywanych danych przekazywanych za pomocą łączności elektronicznej, że amerykańscy dostawcy usług mają obowiązek przestrzegania amerykańskich nakazów ujawnienia danych dotyczących treści i danych niedotyczących treści niezależnie od miejsca przechowywania takich danych. Ustawa CLOUD umożliwia również zawieranie porozumień władzy wykonawczej (executive agreements) z rządami zagranicznymi, na podstawie których amerykańscy dostawcy usług mogą dostarczać dane dotyczące treści bezpośrednio do tych rządów zagranicznych (tekst ustawy CLOUD jest dostępny pod adresem: https://www.congress.gov/115/bills/ s2383/BILLS-115s2383is.pdf).

[12] Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom Adopted on 13 April 2021

[13] https://edpb.europa.eu/news/news/2021/european-data-protection-board-48th-plenary-session_pl

[14] Dotychczas, to jest do czasu wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 16 lipca 2020 roku w sprawie Schrems II, decyzja Komisji Europejskiej nazywana „Tarczą Prywatności” stanowiła legalną podstawę transferu danych do USA. Na mocy wspomnianego wyroku decyzja ta została uznana za nieważną i co istotne, automatycznie utraciła moc wiążącą, tzn. nie przewidziano w tym zakresie żadnego okresu przejściowego.

[15] Zob. wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 16 lipca 2020 roku w sprawie Schrems II (C-311/18)

[16] Trybunał Sprawiedliwości UE nie sprecyzował jakie to mogą być środki, ale przykładowe środki uzupełniające zostały wskazane w Zaleceniach 01/2020 dotyczących środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych, Przyjętych w dniu 10 listopada 2020 r. i wydanych przez EROD, dostępnych tutaj https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_pl.pdf

[17] https://www.gov.uk/government/consultations/data-a-new-direction

[18]https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1022315/Data_Reform_Consultation_Document__Accessible_.pdf