Adattovábbítás az Egyesült Királyságba Brexit után?

Egyelőre időt nyertek az Egyesült Királyságba személyes adatokat továbbító vállalkozások. További 4 hónapig, maximum 6 hónapig nem minősül harmadik országnak az Egyesült Királyság, így nem szükséges változtatni az eddigi gyakorlaton.

Brexit átmeneti időszaka

A Brexit a gazdasági élet számos területén tartogatott bizonytalanságot, köztük a személyes adatok Egyesült Királyságba való továbbítása terén is. Minden olyan társaság, amely üzleti kapcsolatai során személyes adatokat továbbít az Egyesült Királyságban működő anya-, leányvállalatának vagy üzleti partnerének, nagy várakozással követte, hogy az Egyesült Királyság Európai Unióból való kilépésének 2020. december 31-én véget érő átmeneti időszaka előtt születik-e megállapodás ebben a kérdésben is.

Az átmeneti időszak - megegyezés nélküli - vége azt jelentette volna, hogy 2021. január 1-től az Egyesült Királyság harmadik országnak minősült volna. Így azoknak a vállalkozásoknak, akik az Egyesült Királyságba továbbra is személyes adatokat kívántak volna küldeni, a GDPR V. fejezete szerinti plusz garanciák valamelyikét kellett volna biztosítaniuk.

Adattovábbítás az átmeneti időszak után

Bár végleges megoldás nem született, mégis 2020. december 31-én megjelent az Európai Unió (EU) és az Egyesült Királyság közti megegyezés[1], amelynek értelmében a vállalkozások egyelőre ugyanúgy továbbíthatnak személyes adatokat az Egyesült Királyságba, mint eddig. Ugyanis a megegyezés értelmében 2021. január 1-jétől még nem minősül harmadik országnak az Egyesült Királyság, így az átmeneti időszak végétől számított 4 hónapig az Egyesült Királyságba további garanciák nélkül továbbíthatók személyes adatok az EU-ból. Feltéve, hogy az Egyesült Királyság továbbra is alkalmazza a GDPR szabályainak megfelelő saját nemzeti jogszabályait.[2] Ez az időtartam pedig automatikusan meghosszabbodik 2 hónappal, amennyiben sem az EU, sem az Egyesült Királyság nem tiltakozik ellene.[3]

Ez a 6 hónapos időszak azonban hamarabb is véget érhet, amennyiben ez idő alatt az Európai Bizottság megfelelőségi határozatot fogad el az Egyesült Királyságra vonatkozóan.[4] Ebben az esetben ugyanis a GDPR által megkövetelt plusz garanciát ez a határozat jelentené. A megfelelőségi határozattal a Bizottság megállapítja, hogy az adott ország adatvédelmi szabályai és intézményei a személyes adatok legalább olyan szintű védelmét biztosítják, mint amilyet az EU biztosít. Ebből adódóan a megfelelőségi határozattal rendelkező országokba az Unió területéről szabadon történhet a személyes adatok továbbítása. Jelenleg 12 országra van ilyen megfelelőségi határozat, például Izraelre, Kanadára, Svájcra, Japánra. Bár egy megfelelőségi határozat ilyen rövid időn belüli elfogadására kis esély mutatkozik, az érintett vállalkozásoknak mégis érdemes követniük, hogy megszületik-e ez a megfelelőségi határozat az Egyesült Királyságra nézve. Ugyanis, amennyiben igen, akkor az adatkezelési tájékoztatókban, adatkezelési nyilvántartásban frissítésre szorulnak az Egyesült Királyságba történő személyes adatok kezelésére vonatkozó információk.

Jelenlegi teendők

A megegyezéssel azonban csak átmenetileg nyertek időt a személyes adatokat az Egyesült Királyságba továbbító társaságok. Hiszen amennyiben a 4, illetőleg 6 hónap lejártáig nem születik megfelelőségi határozat, akkor az adattovábbításokat megvalósítani kívánó vállalkozásoknak gondoskodniuk kell a GDPR V. fejezete szerinti plusz garanciák valamelyikének biztosításáról. Azok közül nagy általánosságban vagy az általános szerződéses kikötések (SCC), vagy a kötelező erejű vállalti szabályok (BCR) hivatkozása kerülne elő. Ezen megoldások jogszerű használata azonban jelentősen megnehezedtek a Schrems II. ítélet megállapításai fényében. Így a vállalkozásoknak érdemes ebben a 4, illetőleg 6 hónapos időszakban előre gondolkodniuk, hogy a Bizottság megfelelőségi határozata hiányában, hogyan tudják majd tovább folytatni az Egyesült Királyságba történő személyes adatok továbbítására vonatkozó jelenlegi gyakorlatukat.

A Schrems II ítélet következményeiről szóló írásunkat itt olvashatja.

[1] Kereskedelmi és Együttműködési Megállapodás egyrészről az Európai Unió és az Európai Atomenergia-Közösség, és másrészről Nagy-Britannia és Észak-Írország Egyesült Királysága között (továbbiakban: Brexit megállapodás) https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=OJ:L:2020:444:FULL&from=HU

[2] Brexit megállapodás FINPROV.10A. cikk 1.

[3] Brexit megállapodás FINPROV.10A. cikk 4. (b) pontja

[4] Brexit megállapodás FINPROV.10A. cikk 4. (a) pontja