A küszöbön álló Brexit módja máig kérdéses, még mindig nem dőlt el, hogy az Egyesült Királyság Európai Unióból történő kilépése megállapodásban rögzített szabályozott keretek között, vagy azok hiányában, rendezetlenül történik-e majd. Megállapodással vagy anélkül, számos szektorban kell a Brexitet követő időszakkal kapcsolatos nyitott kérdésekre választ találni. Az egyik ilyen az adatvédelem területe. Ezt tekintjük át Solt Istvánnal, az act legal | Bán és Karika Ügyvédi Társulás ügyvédjével.
„Jelenleg az Egyesült Királyság az Európai Unió tagállamaként áll az Európai Unió új általános adatvédelmi rendeletének hatálya alatt. A kilépési megállapodással történő kilépéssel hosszabb, kétéves, anélkül azonban rövid kilépési folyamat végén ez a helyzet megváltozik, az Egyesült Királyság a GDPR alkalmazása szempontjából harmadik országgá válik. Lényegi különbséget jelent az adatvédelmi szabályok alkalmazásában a Brexit jellege, mivel megállapodással történő kilépés esetén az átmeneti időszak sajátos szabályok időleges alkalmazását hozhatja.” – emelte ki Solt István.
Ha a Brexitre az Európai Unióval kötendő megállapodással kerül sor, a 2021-ig tartó átmeneti időszakban a GDPR közvetlenül hatályosuló jogszabály marad az Egyesült Királyságban, és lényegében az egyetlen változást az jelenti majd, hogy a brit adatvédelmi hatóság már nem fog szavazati joggal rendelkezni az Európai Adatvédelmi Testületben, de még fennmaradhat bizonyos fokú képviseleti joga az Egyesült Királyságot érintő ügyekkel kapcsolatban, emellett elképzelhetők korlátozások az Európai Unión kívüli országokból az Egyesült Királyságba történő adattovábbítások vonatkozásában.
Az átmeneti időszakot követően a GDPR nem lesz közvetlenül hatályosuló jogszabály, és az Egyesült Királyságot érintő adatkezelésekre elsősorban az Egyesült Királyság belső adatvédelmi jogának rendelkezései lesznek irányadók, amelybe ugyanakkor bizonyos mértékig beépült a GDPR a kilépéssel kapcsolatos és általános adatvédelmi jogszabályokon keresztül, de természetesen érvényesülni fognak a GDPR Európai Unión kívüli adatkezelésre vonatkozó rendelkezései is. A hatósági felügyelet is ennek megfelelően kettőződik meg, a brit adatvédelmi hatóságnak ugyanis már semmilyen szerepe sem lesz az Európai Adatvédelmi Testületben, kizárólag az Egyesült Királyságban lesz hatásköre, míg az Európai Uniónak maradnak felügyeleti jogosítványai a GDPR alapján végzett adatkezelésekkel kapcsolatban.
Ha az Egyesült Királyságban illetőséggel rendelkező adatkezelő az Európai Unió területén kíván adatkezelési tevékenységet végezni, akkor főszabály szerint az átmeneti időszakot követően az Európai Unióban a GDPR szerinti képviselővel kell majd rendelkeznie. Áttekintésre szorul majd az adatkezelők által a GDPR szerinti adatvédelmi tisztviselői modell is annak érdekében, hogy az átmeneti időszakot követően is megfelelő támogatást biztosíthassanak maguknak az adatvédelmi kérdésekkel kapcsolatban.
Az adattovábbításokra az átmeneti időszakot követően a harmadik országokra irányadó szabályok vonatkoznak majd, vagyis az Európai Unióból az Egyesült Királyságba történő adattovábbítások korlátozások alá eshetnek, különösen, ha az Európai Bizottság az Egyesült Királyság reményei ellenére nem hoz az adattovábbítás lehetőségét biztosító megfelelőségi határozatot, amelyben megállapítja, hogy az Egyesült Királyság, annak valamely területe, vagy egy vagy több meghatározott ágazata megfelelő adatvédelmi szintet biztosít.
Ugyanezek, az átmeneti időszakot követő időre vonatkozó szabályok lépnek életbe akkor is, ha az Egyesült Királyság rendezetlenül, az Európai Unióval kötendő megállapodás nélkül lép ki az Európai Unióból, a változások azonban nyomban, felkészülést segítő átmeneti időszak nélkül valósulnak meg. Éppen ezért minden adatkezelőnek célszerű áttekintenie az Egyesült Királyságot érintő adatkezeléseit, és felkészülni mindkét eshetőségre még az előirányzott kilépési dátumot, 2019. március 30-át megelőzően. Ennek keretében különösen hangsúlyos lehet az adatkezeléseket szabályozó szerződések felülvizsgálata és módosítása, kiegészítése a megfelelő adatvédelmi kötelezettségekkel.