2020. január végén az Egyesült Királyság kilépett az Európai Unióból, azonban a tavalyi év végéig tartó átmeneti időszak alatt a korábbi szabályok maradtak érvényesek az adatvédelem területén is. Mivel a múlt hónap közepén még nem látszódtak a megegyezés körvonalai, ezért az Európai Adatvédelmi Testület a megállapodás nélküli Brexit esetére adattovábbítási iránymutatásokat közölt.
Ezt követően, december 24-én megszületett a kereskedelmi és együttműködési megállapodás, amelyet a tárgyaló felek képviselői december 30-án aláírtak, és az Egyesült Királyság parlamentje ratifikálta. Mivel az Európai Parlament csak később, 2021. elején fogja ratifikálni a megállapodást, ezért az január elsejével egyelőre ideiglenesen kerül alkalmazásra.
- A megállapodás adatvédelemmel kapcsolatos legfontosabb rendelkezése, hogy személyes adatok további garanciák nélkül továbbíthatók az unióból az Egyesült Királyságba az átmeneti időszak végétől számított 4 hónapig.
- Ez a határidő automatikusan meghosszabbodik 2 hónappal, amennyiben sem az EU, sem az Egyesült Királyság nem tiltakozik ellene.
Ennek feltétele, hogy az Egyesült Királyság a továbbiakban is alkalmazza az uniós adatvédelmi rendelet (GDPR) szabályait, ahogyan az a nemzeti jogában átültetésre került. Ez az időszak hamarabb véget ér, ha időközben az Európai Bizottság megfelelőségi határozatot fogad el az Egyesült Királyságra vonatkozóan.
Az átmeneti időszak lejártát követő legfeljebb 6 hónapos időtartam alatt továbbra is külön intézkedések nélkül lehet az Egyesült Királyságba személyes adatot továbbítani. Ez azt jelenti, hogy egyelőre nincs szükség speciális garanciák, például általános szerződési feltételek alkalmazására az ilyen jellegű adattovábbítások vonatkozásában – mondta a Baker McKenzie adatvédelmi csoportvezetője.
„Az Egyesült Királyság adatvédelmi hatósága, az ICO azonban felhívta a figyelmet arra, hogy a vállalkozásoknak ez alatt a hat hónap alatt ésszerű elővigyázatosságból fel kell készülniük arra is, hogy megfelelőségi határozat hiányában alternatív adattovábbítási mechanizmusokat alakítsanak ki” – hangsúlyozta Vári Csaba.
A megállapodás fontos rendelkezéseként egyik fél sem engedélyezi, hogy magánszemélyek részére hozzájárulásuk nélkül lehessen direkt marketingkommunikációs üzeneteket küldeni. Ugyan a cégek az úgynevezett „soft opt-in”-t alkalmazhatják, azaz ügyfeleik részére küldhetnek hasonló termékekről, szolgáltatásokról közvetlen üzletszerzés célú üzenetet, ha ez ellen az érintettek nem tiltakoznak. Viszont a többi között Magyarországon ez a módszer nem megengedett.
Az EU és az Egyesült Királyság megállapodott abban is, hogy bilaterális és multilateriális szinten is együttműködnek az adatvédelem területén párbeszéd, tapasztalatcsere és bűnügyi együttműködés útján. Az adatlokalizációval kapcsolatban pedig a felek megállapodtak, hogy egyikük sem fogja előírni, hogy adatokat (beleértve személyes adatokat is) saját területükön kelljen tárolni vagy kezelni.
A megállapodás kitér arra is, hogy a felek bűnüldözés területén történő együttműködése feltétele megfelelő garanciák biztosítása az adatvédelmi jogszabályaikban. Bármely fél felfüggesztheti ezt az együttműködést abban az esetben, ha a másik fél adatvédelmi rendszerében súlyos és rendszerbeli hiányosságok mutatkoznának.
Néhány ügyben a megállapodás nem tartalmaz speciális előírást, azonban fontos megemlíteni, hogy az Egyesült Királyságból az Európai Gazdasági Térség területére történő adattovábbítások a továbbiakban is külön garanciák nélkül történhetnek. Az Egyesült Királyság ugyanis az adatvédelem tekintetében már valamennyi EGT-tagállamot megfelelő szintűnek tekint.
Továbbá a szigetország megfelelőségi határozatokat hozott azon nem EGT-tagállamok esetében, amelyek kapcsán az Európai Bizottság is hozott már hasonló határozatot, ezért ezen országokba is korlátozások nélkül lehet személyes adatot továbbítani. Ezek ugyanakkor egyoldalú határozatok, vagyis az Egyesült Királyság részéről bármikor visszavonhatók, módosíthatók vagy kiegészíthetők.
