Companies forwarding data to the UK can take a deep breath: The UK will not constitute a third country for data transfers from the European Union for a transitional period of up to 4+2 months under an agreement reached between the EU and the UK on 24 December 2020. As a result, data can be transferred to the United Kingdom during the transitional period under the same conditions as to any other EU member state. The additional requirements applicable under GDPR for transfers to third countries do not have to be met until the end of the grace period. The details of the regulation have been summarised by the data protection experts from our Budapest office.
Megszületett a Brexit adatvédelmi megállapodása – Egy darabig még marad a GDPR
Ismét fellélegezhetnek az Egyesült Királyságba adattovábbítással érintett cégek, ugyanis az EU és a szigetország között 2020. december 24-én létrejött megállapodás alapján egy legfeljebb 4+2 hónapos átmeneti időszakon át az Egyesült Királyság nem minősül harmadik országnak az Európai Unióból történő adattovábbítások szempontjából. Ennek következménye, hogy az átmeneti időszak alatt ugyanolyan feltételekkel történhet az Egyesült Királyságba adattovábbítás, mint bármelyik másik EU tagállamba; a harmadik országba történő adattovábbításokhoz a GDPR által megkövetelt többletkövetelményekről a türelmi idő végéig még nem kell gondoskodniuk az adatkezelőknek. A szabályozás részleteit a Taylor Wessing Budapest ügyvédi iroda adatvédelmi szakértői foglalták össze.
Mindez azonban csak átmeneti és feltételes könnyebbséget jelent, ugyanis az EU-UK közötti adattovábbítások hosszútávú helyzete a megállapodás ellenére is képlékeny maradt. Az átmeneti könnyítés már 4 hónap után is megszűnhet, amennyiben a további két hónappal történő meghosszabbítás ellen akár az Egyesült Királyság, akár az EU tiltakozna. Továbbá abban az esetben is, ha ezen átmeneti időszak alatt az Egyesült Királyság az adatvédelmi jogszabályaiban olyan lényeges változtatásokat kezdeményezne, amihez az EU nem adta hozzájárulását.
Ideális esetben – és hosszútávú megoldásként – már ezen 6 hónapos időszak alatt is megállapíthatja az Európai Bizottság megfelelőségi határozatában, hogy függetlenül attól, hogy az Egyesült Királyság már nem tagja az Európai Uniónak, adatvédelmi jogszabályai megfelelő szintű védelmet biztosítanak. Ez egy az EU-ból frissen kilépett tagország esetében adottnak tűnhet, különösen, ha figyelembe vesszük, hogy jelenleg az UK adatvédelmi törvénye szinte teljes mértékben megegyezik a GDPR-ral. Ennek ellenére mégsem tűnik reálisnak egy gyors megfelelőségi határozat kibocsátása, leginkább az UK titkosszolgálatának jogköreivel kapcsolatban felmerült aggályokra tekintettel.
„Ez pontosan az egyik olyan kritikus szempont egy harmadik állam adatvédelmi megfelelőségének vizsgálatánál, amely miatt nemrégiben összeomlott az EU-USA közötti adattovábbítások korábbi Privacy Shield-en alapuló rendszere a Schrems II ítélet következtében. Mindezek fényében egy gyorsan kibocsátott megfelelősségi határozat az Egyesült Királyság adatvédelmének megfelelőségéről egyáltalán nem borítékolható. Amennyiben a megfelelősségi határozat elfogadására a 4+2 hónapos átmeneti időszakban nem kerülne sor, akkor az Egyesült Királyságba történő adattovábbításokhoz a GDPR szerinti más garanciáit kell igénybe vennünk (általános szerződési kikötések (SCC), kötelező erejű vállalati szabályok (BCR)), azok Schrems 2 ítélet utáni valamennyi új követelményével” – tette hozzá dr. Kopasz János a Taylor Wessing Budapest adatvédelmi szakértője.
Látható, hogy messze vagyunk még az EU-UK adattovábbítások hosszútávú és megnyugtató rendezésétől és az előrevetített 4+2 hónapos periódus is tartogathat meglepetéseket. „A 2021. év meghatározó lesz a nemzetközi adattovábbításaink szempontjából. Adatkezelőként érdemes az új évet azon adattovábbításaink feltérképezésével indítani, amelyek harmadik országba történnek. Ezek közül külön figyelmet érdemel az Egyesült Királyságba, illetve az Egyesült Államokba történő adattovábbítások. Előbbinél a legfrissebb Brexit fejlemények, utóbbinál a Schrems 2 ítélet és annak gyakorlati következményei borzolhatják az adatkezelők kedélyét. Mindezekkel szoros összefüggésben bocsátotta nyilvános konzultációra az Európai Adatvédelmi Testület ajánlását is a harmadik országokba történő adattovábbítások előzetes értékelésére vonatkozóan, amelyben foglalt értékelési szisztéma újabb adatvédelmi teendőként fogja gyarapítani az adatvédelmi megfelelőséghez szükséges teendők hosszadalmas listáját.” - zárta gondolatait dr. Kopasz János.
