• NDAlegal

Az adatvédelem helyzete a brexit után

Az Egyesült Királyság és az Európai Unió között 2020. december 24.-én megszületett a Kereskedelmi és Együttműködési Megállapodás, amely 2021. január 1-jén lépett érvénybe és a poszt-brexit jogviszonyokat rendezi, így a brexit egy éves átmeneti időszaka véget ért.


Nem hozott végleges megoldást azonban a brexit-megállapodás az adatvédelem területén.


A brexit következtében a britek az adatok szabad áramlásának egységes uniós piacából is eltávoztak, az akadálytalan és zavartalan adatáramlás az EU és az Egyesült Királyság között azonban még nem szűnt meg teljesen.


A megállapodás értelmében az Egyesült Királyságba történő adattovábbítás – egyelőre – nem minősül harmadik országba történő adattovábbításnak és egy újabb átmeneti időszak lejártáig nem is fog annak minősülni.


§ 2021. január 1.-jétől 4 hónapig tartó átmeneti időszak kezdődik, amely alatt a személyes adatok ugyanúgy továbbíthatók az Egyesült Királyságba mint eddig.


§ Ez a határidő automatikusan meghosszabbodik további 2 hónappal, amennyiben ez ellen egyik fél sem tiltakozik, vagyis az átmeneti időszak legfeljebb 6 hónapig tarthat.


A Megállapodás rögzíti, hogy ez az átmeneti időszak a 6 hónap lejárta előtt megszűnik, ha az Európai Bizottság megfelelőségi határozatot fogad el, amelyben megállapítja, hogy az Egyesült Királyság adatvédelmi berendezkedése megfelelő szintű védelmet nyújt.


Nem egyértelmű azonban, hogy a megállapodásban azért került rögzítésre egy újabb átmeneti időszak, mert a megfelelőségi határozattal még nem készültek el vagy pedig az adatvédelmi intézkedésekben való megállapodásban nem jutottak egyezségre a felek. A brit kormány azonban fordítottan már deklarálta, hogy ők „megfelelőnek” tartják mindegyik EU-s tagállamot adatvédelem szempontjából, azonban kérdéses, hogy ezt az EU is meg fogja-e tenni.


A megfelelőségi határozattal ellentétben az EU már javában dolgozik az új általános szerződési feltételek, az ún. SCC-k (Standard Contractual Clauses) előkészítésén, ezzel is indikálva azt, hogy amennyiben mégsem születik megfelelőségi határozat, akkor az országoknak egyik napról a másikra kell egy új adatvédelmi berendezkedésre átállni. Ebben az esetben az Egyesült Királyságba történő adattovábbítás már harmadik országba történő adattovábbításnak fog minősülni és ilyenkor a jelen követelményeihez igazított SCC-k elengedhetetlennek fognak minősülni.


Az újabb átmeneti időszak lejártáig azonban az Egyesült Királyságban a 2020. december 31-én hatályos adatvédelmi szabályok alkalmazandók. Ez azt jelenti, hogy a brit nemzeti jogba korábban változatlanul átültetett, ún. UK GDPR alapján az adattovábbítás ugyanúgy folytatódhat tovább – az első egy éves átmeneti időszakhoz hasonlóan -, mintha az EU-n belül maradnának az adatok.


A brit adatvédelmi hatóság és az európai adatvédelmi testület is felhívta arra a figyelmet, hogy a 6 hónapos átmeneti időszak ellenére a vállalkozásoknak elővigyázatosságból készen kell állniuk arra, hogy gyorsan kell majd reagálniuk az esetleges változásokra, így alternatív védelmi mechanizmus kialakítását szorgalmazzák.


Az átmeneti helyzetre tekintettel, mindenképp javasolt figyelemmel kísérni az adatvédelmi fejleményeket a brexit vonatkozásában.


dr. Nagy Dóra Adriána

dr. Fehér Fanni