Okoz még kellemetlen meglepetést a brexit

Ismét fellélegezhetnek az Egyesült Királyságba adattovábbítással érintett cégek, ugyanis az EU és a szigetország között 2020. december 24-én létrejött megállapodás alapján egy legfeljebb 4+2 hónapos átmeneti időszakon át az Egyesült Királyság nem minősül harmadik országnak az Európai Unióból történő adattovábbítások szempontjából. Ennek következménye, hogy az átmeneti időszak alatt ugyanolyan feltételekkel történhet az Egyesült Királyságba adattovábbítás, mint bármelyik másik EU tagállamba - foglalja össze a brexit hatásait a GDPR-szabályozásra a Taylor Wessing nemzetközi ügyvédi iroda.
Szabó Dániel, 2020. december 29. kedd, 06:21
Fotó: Shutterstock

Mint bármelyik másik EU tagállamba, a harmadik országba történő adattovábbításokhoz a GDPR által megkövetelt többletkövetelményekről a türelmi idő végéig még nem kell gondoskodniuk az adatkezelőknek. A brexit kapcsán ez az átmeneti könnyítés már 4 hónap után is megszűnhet, amennyiben a további két hónappal történő meghosszabbítás ellen akár az Egyesült Királyság, akár az EU tiltakozna. Továbbá abban az esetben is, ha ezen átmeneti időszak alatt az Egyesült Királyság az adatvédelmi jogszabályaiban olyan lényeges változtatásokat kezdeményezne, amihez az EU nem adta hozzájárulását - írja elemzésében a cég.

Viszont ezen 6 hónapos időszak alatt is megállapíthatja az Európai Bizottság megfelelőségi határozatában, hogy függetlenül attól, hogy az Egyesült Királyság már nem tagja az Európai Uniónak, adatvédelmi jogszabályai megfelelő szintű védelmet biztosítanak. Megkönnyíti ezt, hogy a brit adatvédelmi törvény szinte teljes mértékben megegyezik a GDPR-ral. Ennek ellenére mégsem tűnik reálisnak egy gyors megfelelőségi határozat kibocsátása, leginkább az Egyesült Királyság titkosszolgálatának jogköreivel kapcsolatban felmerült aggályokra tekintettel.

"Ez pontosan az egyik olyan kritikus szempont egy harmadik ország adatvédelmi megfelelőségének vizsgálatánál, amely miatt nemrégiben összeomlott az EU-USA közötti adattovábbítások korábbi Privacy Shield-en alapuló rendszere a Schrems II ítélet következtében. Mindezek fényében egy gyorsan kibocsátott megfelelőségi határozat az Egyesült Királyság adatvédelmének megfelelőségéről egyáltalán nem borítékolható. Amennyiben a megfelelőségi határozat elfogadására a 4+2 hónapos átmeneti időszakban nem kerülne sor, akkor az Egyesült Királyságba történő adattovábbításokhoz a GDPR szerinti más mechanizmusokat kell igénybe vennünk (általános szerződési kikötéseket (SCC), kötelező erejű vállalati szabályokat (BCR)), azok Schrems II ítélet utáni valamennyi új követelményével" - értékelte a helyzetet Kopasz János a Taylor Wessing Budapest adatvédelmi szakértője.

Szerinte messze vagyunk még a feleknél a hosszútávú és megnyugtató rendezéstől, az előrevetített 4+2 hónapos periódus is tartogathat meglepetéseket. "A 2021. év meghatározó lesz a nemzetközi adattovábbításaink szempontjából. A legfrissebb brexit fejlemények, utóbbinál a Schrems II ítélet és annak gyakorlati következményei borzolhatják az adatkezelők kedélyét. Mindezekkel szoros összefüggésben bocsátotta nyilvános konzultációra az Európai Adatvédelmi Testület ajánlását is a harmadik országokba történő adattovábbítások előzetes értékelésére vonatkozóan, amelyben foglalt értékelési szisztéma újabb adatvédelmi teendőként fogja gyarapítani az adatvédelmi megfelelőséghez szükséges teendők hosszadalmas listáját" - zárta gondolatait Kopasz János.

A frissen és sebtiben megszületett brexit-megállapodás más kockázatokkal is járhat még, erről ebben a cikkben írtunk részletesen.

HOZZÁSZÓLÁSOK