A tegnapi nap kiemelt híre volt, hogy az Egyesült Királyság és az EU kompromisszumra jutott a Brexit-megállapodás kapcsán, amelyet a EU tagállamok vezetői jóvá is hagytak. A labda (immár sokadszor) a brit parlamentnél pattog, amelynek szintén áldását kell adnia a módosított megállapodásra annak érdekében, hogy a brit kilépés az EU-ból rendezett formában valósulhasson meg.
A módosítás EU általi elfogadása kapcsán érdemes áttekintetünk, hogy a személyes adatok Egyesült Királyságba történő továbbítása tekintetében mire kell számítanunk a közeljövőben.
Tartalmaz-e rendelkezést a módosított Brexit-megállapodás az adatok továbbítása kapcsán?
A tegnap közzétett tervezet (a felek közötti jövőbeni együttműködésre vonatkozó politikai nyilatkozat tervezete) több pontja foglalkozik adatvédelemmel kapcsolatos kérdésekkel. A tervezet rögzíti, hogy az Európai Bizottság a kilépést követően haladéktalanul megkezdi a megfelelőségi vizsgálatot az Egyesült Királyság vonatkozásában és lehetőség szerint 2020. év végéig el is fogadja a vonatkozó határozatot. Az Egyesült Királyság pedig hasonlóan cselekszik az EU-felé irányuló adattovábbítás tekintetében. A megfelelőségi határozat megszületése a GDPR 45. cikke alapján teremtene alapot az adattovábbításra.
Mi vonatkozik a kilépéstől a megfelelőségi határozat elfogadásáig, azaz 2020. év végéig terjedő időszakra?
E tekintetben az eredeti megállapodás módosítása nem hozna változást. Az eredeti megállapodás (amelyet a brit parlament több alkalommal is elutasított korábban) 67. cikk (1) bekezdés b) pontja szerint az átmeneti időszakban (azaz a kilépéstől 2020. december 31-ig) a GDPR alkalmazandó marad az Egyesült Királyságban is. Ez pedig azt jelenti, hogy a megállapodás elfogadása esetén, az adattovábbítás tekintetében az átmeneti időszak végéig nem történne változás, azaz az Egyesült Királyságba további feltételek megteremtése nélkül lennének továbbíthatók az adatok (nem tekintenék az Egyesült Királyságot harmadik országnak a GDPR értelmében, figyelemmel az eredeti megállapodás 127. cikk (6) bekezdésre).
Mi történik, ha a módosított megállapodást sem fogadja el a brit parlament?
Ha a módosított megállapodás sem kerül elfogadásra és a britek nem kérnek vagy nem kapnak halasztást, akkor a kilépés rendezetlenül történik meg október 31-ével, az Egyesült Királyság pedig harmadik országnak minősülne innentől kezdve. Az adattovábbítások szempontjából ez azt jelentené, hogy - megfelelőségi határozat hiányában - az adattovábbításokra a GDPR általános szabályai szerint kerülhetne sor, elsősorban kötelező erejű vállalati szabályokra vagy a Bizottság által jóváhagyott általános adatvédelmi kikötésekre alapozva.
Mi történik, ha a megállapodás elfogadásra kerül, de az átmeneti időszak végéig sem lesz megfelelőségi határozat?
Ha 2020. év végéig nem lesz megfelelőségi határozat, akkor ezt követően kell a GDPR általános adattovábbítási szabályait alkalmazni, azaz - ahogy az előző kérdés kapcsán is írtam - elsődlegesen a kötelező erejű vállalati szabályok és az általános adatvédelmi kikötések juthatnak szerephez, de természetesen az egyéb GDPR-ban szabályozott lehetőségek is alkalmazhatóak lesznek.
