Az utolsó pillanatban, néhány nappal a június 30-i határidő előtt jelentek meg az Európai Unióból Egyesült Királyságba történő adattovábbítást lehetővé tévő megfelelőségi határozatok (az egyik a GDPR alapján történő adatkezelésekhez kapcsolódóan, a másik pedig a bűnügyi adatkezelési irányelv alapján).
Mi történt június 30-án, miért fontos, hogy most jelentek meg a megfelelőségi határozatok?
Ahogy a Brexit kapcsán megszokhattuk, megint az utolsó pillanatban kaptak az érintett szereplők iránymutatást, hogy a Brexit által előidézett helyzetben miként járhatnak el, az adattovábbításokra milyen módon kerülhet sor. Az EU és az Egyesült Királyság közötti kereskedelmi és együttműködési megállapodással (Trade and Cooperation Agreement, TCA) kapcsolatos tárgyalások is az utolsó pillanatig húzódtak, mielőtt a Brexitet követő átmeneti időszak 2020. december 31-ével véget ért. A TCA záró rendelkezései között az EU és Egyesült Királyság közötti adattovábbításokra vonatkozó átmeneti rendelkezések szerepelnek, amelyek rögzítik, hogy - bizonyos feltételekkel - az Egyesült Királyságba történő adattovábbítás nem minősül harmadik országba történő adattovábbításnak további 4 hónapig, amely - a másik fél tiltakozása hiányában - további 2 hónappal meghosszabbodik (vagy megfelelőségi határozat elfogadásáig, ha az korábbi). Ez a 4+2 hónapos átmeneti időszak járt le június 30-án.
Amennyiben a megfelelőségi határozatok nem születtek volna meg, úgy az adatkezelőknek egyéb módon (például általános adatvédelmi kikötések alkalmazásával) kellett volna biztosítaniuk az Egyesült Királyságba történő adattovábbítások során az adatok megfelelő védelmét.
Mi az a megfelelőségi határozat és mi a teendőjük az adatkezelőknek?
Az EU-n kívülre (harmadik országba, illetve nemzetközi szervezet részére) történő adattovábbítás során szükséges biztosítani, hogy a személyes adatok az EU-n kívül is megfelelő szintű védelemben részesüljenek. Olyan harmadik országok (nemzetközi szervezetek) esetében, amelyek tekintetében a Bizottság megfelelőségi határozatot fogadott el, az adattovábbítás ezen határozatokra tekintettel történhet, hiszen a Bizottság elvégezte a vizsgálatot, amely alapján megállapította, hogy a határozattal érintett harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet biztosítja a megfelelő védelmi szintet. Ez nagy könnyebbség az adattovábbítást végző adatkezelőknek, mivel ilyen esetekben nem nekik kell az adatok harmadik országban történő továbbítása során a megfelelő szintű védelemről gondoskodniuk, hanem támaszkodhatnak a bizottsági határozatra.
Megfelelőségi határozat esetében tehát az adatkezelőknek az adattovábbítás során - az adatok harmadik országban történő megfelelő szintű védelmével kapcsolatban - további teendőjük nincs. Természetesen az egyéb adatvédelmi szabályokból fakadó kötelezettségekre (pl. az adattovábbításhoz kapcsolódó adatbiztonsági kérdések) ilyenkor is figyelemmel kell lenniük.
(Érdemes megjegyezni, hogy az adatok bevándorlási célból történő továbbítása kizárásra került a megfelelőségi határozatok által lefedett körből egy friss angol bírósági döntésre is tekintettel. A vonatkozó brit szabályozáshoz kapcsolódó iránymutatás elérhető a brit adatvédelmi biztos (ICO) honlapján).
Meddig alkalmazhatók az Egyesült Királyságra vonatkozó megfelelőségi határozatok?
A megfelelőségi határozatok négy évre szólnak, de a Bizottság figyelemmel kíséri az Egyesült Királyság adatvédelmi szabályozásának és gyakorlatának alakulását és szükség esetén, a négy év letelte előtt is sor kerülhet a határozatok felülvizsgálatára. A négy év leteltét követően pedig a határozatok megújítására nyílik majd lehetőség, ha az Egyesült Királyság továbbra is megfelelő szintű védelmet biztosít.
Milyen harmadik országok tekintetében van jelenleg hatályban megfelelőségi határozat?
Az Egyesült Királyságon kívül az alábbi harmadik országok tekintetében fogadott el az Európai Bizottság megfelelőségi határozatot: Andorra, Argentína, Feröer-szigetek, Guernsey, Izrael, Japán, Jersey, Kanada (kereskedelmi szervezetek), Man-sziget, Svájc, Uruguay és Új-Zéland. [Ezek a megfelelőségi határozatok a bűnügyi adatvédelmi irányelv alapján történő adattovábbításokra nem terjednek ki.]
Mely ország tekintetében várható megfelelőségi határozat elfogadása a közeljövőben?
Dél-Korea tekintetében elindult a megfelelőségi határozat GDPR szerinti elfogadásának a folyamata.
Az USA miért nincs a listán? Az Egyesült Államok nem biztosít megfelelő védelmet?
Korábban az USA tekintetében is kiadásra került megfelelőségi határozat, de ezeket az Európai Bíróság megsemmisítette (2020-ban a Schrems II. ítélettel állapította meg az EUB, hogy a Privacy Shield nem alkalmazható a továbbiakban, így az USA esetében is más módon kell biztosítani az adatok megfelelő szintű védelmét az oda irányuló adattovábbítások esetében.)