Ismét fellélegezhetnek az Egyesült Királyságba adattovábbítással érintett cégek, ugyanis az EU és a szigetország között 2020. december 24-én létrejött megállapodás alapján egy legfeljebb 4+2 hónapos átmeneti időszakon át az Egyesült Királyság nem minősül harmadik országnak az Európai Unióból történő adattovábbítások szempontjából. A szabályozás részleteit a Taylor Wessing Budapest ügyvédi iroda adatvédelmi szakértői foglalták össze.
A megállapodás alapján az átmeneti időszak alatt ugyanolyan feltételekkel történhet az Egyesült Királyságba adattovábbítás, mint bármelyik másik EU tagállamba; a harmadik országba történő adattovábbításokhoz a GDPR által megkövetelt többletkövetelményekről a türelmi idő végéig még nem kell gondoskodniuk az adatkezelőknek.
Mindez azonban csak átmeneti és feltételes könnyebbséget jelent, ugyanis az EU-UK közötti adattovábbítások hosszútávú helyzete a megállapodás ellenére is képlékeny maradt. Az átmeneti könnyítés már 4 hónap után is megszűnhet, amennyiben a további két hónappal történő meghosszabbítás ellen akár az Egyesült Királyság, akár az EU tiltakozna. Továbbá abban az esetben is, ha ezen átmeneti időszak alatt az Egyesült Királyság az adatvédelmi jogszabályaiban olyan lényeges változtatásokat kezdeményezne, amihez az EU nem adta hozzájárulását.
Ideális esetben – és hosszútávú megoldásként – már ezen 6 hónapos időszak alatt is megállapíthatja az Európai Bizottság megfelelőségi határozatában, hogy függetlenül attól, hogy az Egyesült Királyság már nem tagja az Európai Uniónak, adatvédelmi jogszabályai megfelelő szintű védelmet biztosítanak. Ez egy az EU-ból frissen kilépett tagország esetében adottnak tűnhet, különösen, ha figyelembe vesszük, hogy jelenleg az UK adatvédelmi törvénye szinte teljes mértékben megegyezik a GDPR-ral. Ennek ellenére mégsem tűnik reálisnak egy gyors megfelelőségi határozat kibocsátása, leginkább az UK titkosszolgálatának jogköreivel kapcsolatban felmerült aggályokra tekintettel.
„Ez pontosan az egyik olyan kritikus szempont egy harmadik ország adatvédelmi megfelelőségének vizsgálatánál, amely miatt nemrégiben összeomlott az EU-USA közötti adattovábbítások korábbi Privacy Shield-en alapuló rendszere a Schrems II ítélet következtében. Mindezek fényében egy gyorsan kibocsátott megfelelőségi határozat az Egyesült Királyság adatvédelmének megfelelőségéről egyáltalán nem borítékolható. Amennyiben a megfelelőségi határozat elfogadására a 4+2 hónapos átmeneti időszakban nem kerülne sor, akkor az Egyesült Királyságba történő adattovábbításokhoz a GDPR szerinti más mechanizmusokat kell igénybe vennünk (általános szerződési kikötéseket (SCC), kötelező erejű vállalati szabályokat (BCR)), azok Schrems II ítélet utáni valamennyi új követelményével” – tette hozzá Kopasz János, a Taylor Wessing Budapest adatvédelmi szakértője.
Látható, hogy messze vagyunk még az EU-UK adattovábbítások hosszútávú és megnyugtató rendezésétől és az előrevetített 4+2 hónapos periódus is tartogathat meglepetéseket. „A 2021. év meghatározó lesz a nemzetközi adattovábbításaink szempontjából. Adatkezelőként érdemes az új évet azon adattovábbításaink feltérképezésével indítani, amelyek harmadik országba történnek. Ezek közül külön figyelmet érdemelnek az Egyesült Királyságba, illetve az Egyesült Államokba történő adattovábbítások. Előbbinél a legfrissebb Brexit fejlemények, utóbbinál a Schrems II ítélet és annak gyakorlati következményei borzolhatják az adatkezelők kedélyét. Mindezekkel szoros összefüggésben bocsátotta nyilvános konzultációra az Európai Adatvédelmi Testület ajánlását is a harmadik országokba történő adattovábbítások előzetes értékelésére vonatkozóan, amelyben foglalt értékelési szisztéma újabb adatvédelmi teendőként fogja gyarapítani az adatvédelmi megfelelőséghez szükséges teendők hosszadalmas listáját.” – zárta gondolatait Kopasz János.