Röviden összefoglaljuk az Egyesült Királyság Európai Unióból való kilépésének (Brexit) aktuális adatvédelmi megítélését.
2021. január 1-jével az Egyesült Királyság (UK) kilépett az Európai Unióból. A Brexit-megállapodásban rögzített, összesen hat (4+2) hónap, átmeneti idő lejártáig az Egyesült Királyságba történő adattovábbítás nem minősült harmadik országba való adattovábbításnak. Amennyiben a megállapodásban rögzített átmeneti időszak a Bizottság megfelelőségi határozatának elmaradásával zárult volna, az többlet feltételek teljesítését követelte volna meg az adatkezelőktől a személyes adatoknak az Egyesült Királyságba történő továbbítását illetően.
Megfelelőségi határozat hiányában az adattovábbításban érintett felek köteleseket gondoskodni az adatok megfelelő szintű védelméről, amelyhez a GDPR szerint elismert eszköz az SSC (Általános Szerződési Feltételek) és BCR (Kötelező erejű vállalati szabályozás) alkalmazása.
2021. június 30-án, az utolsó pillanatban megjelentek a megfelelőségi határozatok, amelyeknek értelmében az Egyesült Királyság meghatározott ideig (4 évig) feltételesen megkapta a Bizottságtól a GDPR-nak megfelelő minősítést a személyes adatok kezelésére vonatkozóan.
Eddig az e körben példátlan döntés egyik következménye, hogy a Bizottság a 4 év alatt is folyamatosan vizsgálhatja az Egyesült Királyság adatkezelési gyakorlatát, jogi szabályozását és amennyiben úgy ítéli meg, hogy a személyes adatok kezelése nem részesül a GDPR-nak megfelelő szintű védelemben, a kiadott határozatait azonnali hatállyal fel is függesztheti.
A megfelelőségi határozatok feltételességének másik folyománya, hogy tekintettel az Európai Unió Bíróságának C‑311/18. sz. ügyben, 2020. július 16. napján hozott (ún. Schrems II.) ítéletére, amely az Amerikai Egyesült Államok megfelelőségi határozatát helyezte azonnal hatályon kívül, az adatkezelőknek javasolt folyamatosan nyomon követni az Egyesült Királysággal kapcsolatos adatvédelmi helyzet alakulását és meghatározni azon adatkezelési műveleteket, amelyeket adott esetben az Egyesült Királyságra vonatkozó, hasonló jellegű, rövid határidejű döntés érintene.
A Schrems II. ítélet kapcsán kidolgozásra kerültek az adatok harmadik országba történő továbbításának feltételei, amely egyfajta hatásvizsgálati mechanizmus és az összes adatkezelési folyamat átvizsgálásával jár. A vizsgálat lefolytatása során meg kell győződnünk az adatok megfelelő védelmi szintjéről. Az Európai Adatvédelmi Testület 2020. novemberi ajánlása szerint a hatásvizsgálat alkalmazására javasolt egy belső folyamatrendszert kialakítani.
E komplex követelmények gyors megvalósítása érdekében fontos már most felmérni, hogy továbbítunk-e adatot az Egyesült Államokba vagy az Egyesült Királyságba. Egy harmadik országbeli tárhely- vagy webalapú analitikai elemzést végző szolgáltató igénybevétele is megvalósíthatja a harmadik országba történő adattovábbítást. A felmérés eredményét pedig érdemes minden esetben az adatkezelési tevékenységek nyilvántartásában összegezni, hogy mindig rendelkezésre álljon egy aktuális kép a szervezetünk adatkezelési folyamatairól, mert csak így tehetünk maradéktalanul eleget a GDPR által előírt, szerteágazó adatvédelmi kötelezettségeknek.