Az Egyesült Királyság 2020. január 31-én bekövetkezett kilépése az Európai Unióból többek között az adatkezelési műveletek újragondolását is szükségessé tette minden olyan piaci szereplő részéről, amely az EU területéről exportál személyes adatokat az Egyesült Királyságba.

Mi a probléma?

Az ilyen adattovábbítások az üzleti életben meglehetősen gyakoriak. Egyik tipikus esetük amikor pl. egy magyarországi gazdasági társaság egy brit hátterű cégcsoport tagja és az anyavállalat részére exportál adatokat, de ide értendők az olyan helyzetek is, amikor valamely, az Egyesült Királyságban letelepedett üzleti partner (pl. egy IT szolgáltató) nyújt szolgáltatásokat egy magyarországi (vagy egyéb, az EU-ban található) adatkezelő számára és ennek keretében hozzáfér bizonyos, az EU területén tárolt személyes adatokhoz.

2020 végéhez közeledve a fenti problémakör azért kerül egyre inkább reflektorfénybe, mert december 31-én az adatkezelési szabályok tekintetében (is) lejár az úgynevezett Brexit átmeneti időszak. Ebből következően 2021 első napjától az Egyesült Királyság az EU adatvédelmi joga – alapvetően a GDPR – szempontjából ún. „harmadik országnak” tekintendő. Ezért az Egyesült Királyságba az EU-ból történő adattovábbításokra a továbbiakban a GDPR szabályrendszere szerinti valamely garancia-mechanizmus lesz alkalmazandó, amely kellő védelmet nyújt a továbbított adatok számára és ilyen módon biztosítja a jogszerűséget. Ilyen mechanizmus (vagy valamely, a GDPR-ban foglalt kivételszabály) alkalmazásának hiányában az adattovábbítás jogsértő lesz.

 

 

Első forgatókönyv: ha születik megfelelőségi határozat

A fenti körbe tartozó adattovábbítások kapcsán egyelőre nagy a bizonytalanság, de jelen tudásunk szerint alapvetően kétféle forgatókönyv lehetséges.

Az első, hogy az Európai Bizottság úgynevezett „megfelelőségi határozatot” hoz az Egyesült Királyságra nézve. Ennek a GDPR-ban szabályozott döntésnek a lényege az, hogy a Bizottság megvizsgálja az adott, harmadik ország jogrendjét és ez alapján – ha indokolt – megállapítja, hogy annak joga kellő szintű védelmet biztosít az oda továbbított személyes adatok számára, ezért az adattovábbítások az adott célországba a továbbiakban többlet-garanciák nélkül is jogszerűek (lényegében úgy tekintendők, mintha az EU-n belül mennének végbe). Jónéhány harmadik ország vonatkozásában létezik már ilyen határozat, ilyen pl. Japán, Kanada vagy Izrael, csak hogy néhányat említsünk.

Amennyiben tehát megfelelőségi határozat születik, az az adatkezelők részéről egy viszonylag egyszerűen kezelhető helyzetet eredményez, hiszen nem kell további garancia-mechanizmusokat bevezetniük, ugyanakkor feladatuk ebben az esetben is lesz. Mindenekelőtt módosítaniuk kell a meglévő adatkezelési tájékoztatóikat úgy, hogy azok a fentiekben vázolt, megváltozott körülményekre utaljanak, illetve adott esetben érdemes lehet a megfelelőségi határozat tényét rögzíteni már meglévő szerződéseikben is. A Brexit számos esetben egyébként is szükségessé teszi a korábban kötött szerződések felülvizsgálatát, ennek lehet a GDPR tárgyú módosítás egy többlet-eleme.

Második forgatókönyv: ha nem születik megfelelőségi határozat

Jelenleg nem áll rendelkezésre olyan információ, amely alapján azt feltételezhetnénk, hogy 2020 végéig megszületik az előző pontban említett megfelelőségi határozat és erős a gyanú, hogy ha születik is ilyen, erre legkorábban 2021 első negyedévében kerülhet sor.

Némi bizakodásra ad okot, hogy az Egyesült Királyság meglehetősen fejlett adatvédelmi tárgyú joganyaggal, egy igen aktív és felkészült adatvédelmi felügyeleti hatósággal (Information Commissioner’s Office) és általában véve is magas szintű adatvédelmi tudatossággal rendelkezik. Ezért viszonylag nehéz olyan forgatókönyvet elképzelni, amely alapján egyáltalán nem születik majd megfelelőségi határozat rá vonatkozóan.

Mindenesetre amíg ilyen határozat nem áll rendelkezésre, az adatkezelőknek megfelelő garancia-mechanizmusokról kell gondoskodniuk az adattovábbításaik jogszerűségét biztosítandó. Ezeket a GDPR szabályozza, közülük a teljesség igénye nélkül kiemelhető a Bizottság által jóváhagyott adattovábbítási mintaszerződés, amely lényegében egy, a Bizottság által elkészített szerződésminta az adatot küldő és a fogadó oldal (jelen esetben tehát egy EU-ban letelepedett és egy Egyesült Királyságban letelepedett adatkezelő / adatfeldolgozó) között. Amennyiben a felek ezt a szerződést a közöttük létrejövő megállapodások részévé teszik (és persze tartalmát a gyakorlatban is érvényesítik), akkor úgy tekintendő, hogy az adattovábbítások kellő garanciák mentén zajlanak, így jogszerűek.

Bár nem az említett mintaszerződés az egyetlen, GDPR-ban nevesített garancia-mechanizmus, a gyakorlati tapasztalatok azt igazolják, hogy az egyes piaci szereplők praktikus szempontok mentén leginkább ezt alkalmazzák, így a megfelelőségi határozat megjelenéséig várhatóan ez marad az első számú megoldás az adattovábbítások jogszerűségének biztosítására.

Említést érdemel, hogy jelenleg az elfogadás utolsó szakaszában van egy új mintaszerződés, amely 2021 elejétől lesz alkalmazható és az adatkezelőknek várhatóan egy éve lesz a korábbi mintaszerződésről „átállni” ennek a használatára. Ez adott esetben a már meglévő szerződések módosítását igényli.

Teendők

A fentiekből látható, hogy bármelyik forgatókönyv is valósul meg a Brexit kapcsán, az adatkezelőknek mindenképpen lesz teendőjük.

A teljesség igénye nélkül ezek az alábbiak:

• annak feltérképezése, hogy milyen esetekben valósulhat meg adattovábbítás az Egyesült Királyságba (ideértve azt az esetet is, amikor valamely szervezet onnan fér hozzá egy, az EU-ban tárolt adatállományhoz);
• a megfelelő garancia-mechanizmus azonosítása a GDPR és az adott szervezet sajátosságai és igényei alapján;
• szükség esetén a vonatkozó szerződéses rendelkezések újratárgyalása a partnerekkel;
• meglévő adatvédelmi tárgyú dokumentáció (pl. adatkezelési tájékoztatók, érdemérlegelési tesztek, adatvédelmi hatásvizsgálatok) felülvizsgálata;
• a Brexit adattovábbítási vonatkozásai miatt felmerülő érintetti kérdések és panaszok kezelése, erre nézve valamely egységes eljárásrend kidolgozása.

Már-már klasszikussá vált mondás, hogy a „GDPR-al mindig van valami teendő”. Ez az állítás a Brexit fényében különösen igaz.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr.Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez.