Az Európai Adatvédelmi Testület (EDPB) 2020. december 15-én kiadott nyilatkozata rámutat: az átmeneti időszak vége azt jelenti, hogy 2021. január 1-től az Egyesült Királyság már nem a GDPR, hanem a saját jogszabályait fogja alkalmazni a személyes adatok kezelése kapcsán. Az Európai Gazdasági Térség és az Egyesült Királyság közötti adattovábbítás ettől kezdve harmadik országba történő adatáramlásnak minősül, amelyre a GDPR V. fejezete alkalmazandó. A Bizottság úgynevezett megfelelőségi határozattal megállapíthatja, hogy bizonyos országokban az adatvédelmi szabályok és intézmények a személyes adatok legalább olyan szintű védelmét biztosítják, mint amilyet az EU biztosít, ezért ezen országokba az Unió területéről szabadon lehet személyes adatokat továbbítani. Jelenleg ilyen megfelelőségi határozat 12 országra – többek közt Izraelre, Japánra, Kanadára és Svájcra – van érvényben, de az Egyesült Királyságra még nincs.
„Minden olyan cégnek, amely üzleti kapcsolatai során személyes adatokat továbbít az Egyesült Királyságban működő anya- leány-, testvérvállalatának vagy üzleti partnerének, érdemes a lehető leggyorsabban, még idén megvizsgálni, hogy a Brexit átmeneti időszakának lejárta milyen intézkedések meghozatalát teszi szükségessé – hívta fel a figyelmet dr. Vári Csaba, a Baker McKenzie adatvédelmi csoportvezetője. – Ide tartozhat a szükséges adattovábbítási és adatfeldolgozási megállapodások felülvizsgálata, valamint az adatkezelési nyilvántartások és tájékoztatások frissítése. Ezekre az intézkedésekre nem lesz majd szükség, ha a Bizottság az Egyesült Királyság vonatkozásában megfelelőségi határozatot hoz, azonban – ha lesz is ilyen – ennek időpontja még nem ismert.”
A megfelelőségi határozat hiányában az ilyen adattovábbítások kizárólag megfelelő garanciák mellett történhetnek, és csak akkor, ha a magánszemélyek jogainak érvényesítése és a hatékony jogorvoslati lehetőségek biztosítottak. Ha ilyen mechanizmusok és garanciák nem állnak rendelkezésre, különleges helyzetekben, nagyon kivételes körben, ideiglenesen és alkalomszerűen egyéb lehetőségeket is biztosít a GDPR az adatok továbbítására.
Arra is ügyelni kell, hogy januártól az Egyesült Királyság adatvédelmi hatósága, az ICO nem vesz részt a határokon átnyúló adtakezelésekkel kapcsolatos panaszok kivizsgálásában, az úgynevezett egyablakos ügyintézési mechanizmusban. Azok a cégek, amelyek eddig az Egyesült Királyságot jelölték meg tevékenységi központjukként, január 1-től kénytelenek egy másik EU-tagállamot és ezzel egy új fő felügyeleti hatóságot választani.
Az EDPB arra is felhívja a figyelmet, hogy azok az adatkezelők és adatfeldolgozók, akiknek nincs az EU-ban tevékenységi helyük, de a GDPR hatálya alá tartoznak (azaz immáron az Egyesült Királyságban tevékenységet végzők is), kötelesek uniós képviselőt kijelölni. Az így kijelölt képviselőt akár az uniós felügyeleti hatóságok, akár az érintett magánszemélyek megkereshetik annak érdekében, hogy a GDPR rendelkezéseit a harmadik országbeli adatkezelő betartsa.
Az EDPB szintén decemberi tájékoztatója szerint további intézkedések szükségesek ahhoz, hogy az Egyesült Királyságba továbbított személyes adatok biztonságának szintje elérje az EU által biztosított védelmet. A külföldi adattovábbítások során alkalmazott mechanizmusok, mint például az általános szerződési feltételek vagy a kötelező erejű vállalati szabályok önmagukban nem szolgálnak kellő biztosítékul a személyes adatok védelmére, az adatkezelőknek és a nevükben eljáró adatfeldolgozóknak ezért további intézkedéseket kell hozniuk, és vizsgálatokat kell lefolytatniuk annak érdekében, hogy az adattovábbítás következtében az érintett személyek jogai és érdekei ne szenvedjenek csorbát.
A testület felhívja az adatkezelők figyelmét arra is, hogy a Brexit következményeként adatkezelési nyilvántartásukat és az érintetteknek szóló adatkezelési tájékoztatójukat is frissíteni kell, hogy azok a megváltozott körülményeknek megfelelő, tényleges helyzetet rögzítsék.
Fontos megemlíteni azt is, hogy az Egyesült Királyságban tevékenységet végzőknek mindenképpen szükséges a helyi jogszabályok és az ICO által nyújtott információk figyelemmel kísérése annak érdekében, hogy megállapíthassák, ők milyen feltételek mellett exportálhatnak adatokat az Európai Unió területére.
