Hogyan érinti azokat a cégeket a BREXIT, amelyek személyes adatokat továbbítanak az Egyesült Királyságba? Ez a kérdés egyre gyakrabban felmerül a tevékenységünk során.
2021. január 1- től azon cégek, amelyek személyes adatokat továbbítanak az Egyesült Királyságba legfeljebb 2021. július 1-ig várhatnak a GDPR 45. cikkében foglalt Európai Bizottság megfelelőségi határozatára, mert jelen információink szerint ezzel a határidővel lejár a meghosszabbítható türelmi idő is.
A türelmi idő elteltével azonban Bizottsági határozat hiányában az Egyesült Királyság harmadik országgá válik és a cégeknek maguknak kell gondoskodni arról, hogy olyan megállapodások szülessenek, melyek által garantálva van a GDPR szabályaival egyenértékű eljárás a harmadik országban lévő fél és a cég között.
A legjobb megoldás természetesen a Bizottság határozata, mely alapján az érintett harmadik ország, illetve a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít.
A Bizottság határozatára azonban nem érdemes tétlenül várakozni, mert a Bizottsági eljárás 6 hónap alatti lezárulására eddig még nem volt példa, illetve az Egyesült Királyság adatvédelmi gyakorlatával kapcsolatban hasonló problémák merültek fel, mint az USA Privacy Shield szabályainak érvénytelenítése kapcsán. Az Európai Bíróság 2020. őszén kimondta, hogy a brit titkosszolgálati tevékenység, azaz, hogy a titkosszolgálat a telefon, internet használók adataihoz korlátlanul és tömegesen hozzáfér, ellentétben áll az európai uniós adatvédelmi szabályokkal, azaz jogellenes. Ez nyilvánvalóan hatással lesz a Bizottság határozatára.
Addig is mit célszerű tenni? Fel kell térképezni, hogy cégünk továbbít-e adatot az Egyesült Királyságba (vagy más harmadik országba, ha ez eddig nem történt meg, ez jó apropó lehet) és nyilvántartásba kell foglalni. Amiről sokan megfeledkeznek, az az, hogy egy tárhelyszolgáltató (felhő szolgáltató) igénybevétele is ebbe a kategóriába eshet. Akármilyen üzleti kapcsolatról van szó, ha személyes adatok közlekednek a magyarországi adatkezelő és a harmadik országbeli fél között az adatkezelésnek minden esetben meg kell felelnie a GDPR rendelkezéseinek.
A GDPR 44. cikke szerint olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, a GDPR egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti a GDPR -ban rögzített feltételeket.
Amennyiben nem lesz Bizottsági határozat, új alapokra kell helyezni az Egyesült Királyságbeli kapcsolatokat a személyes adatok kezelésének aspektusából. El kell végezni az előzetes alapvető garanciák meglétére vonatkozó vizsgálatokat, amelyek az Európai Adatvédelmi Testület ajánlásában szerepelnek.