GDPR a Brexit után – Adattovábbítás EU-n kívülre
Több évnyi tárgyalást követően az Egyesült Királyság („UK”) hivatalosan is kilépett az Európai Unióból, ez által az UK „harmadik országgá” vált. Szeretnénk megragadni ezt az alkalmat, hogy bemutassuk az UK-ra vonatkozó speciális szabályokat és az EU-n kívülre történő adattovábbítások általános szabályokat.
Adattovábbítás az Egyesült Királyságba
Ahogy a Brexitről szóló legutóbbi cikkünkben megjegyeztük, bizonyos változások csak idővel lépnek életbe. Az EU és az UK közötti kilépési megállapodás alapján a kilépést egy átmeneti időszak követi 2020. december 31-ig. Ebben az átmeneti időszakban a GDPR továbbra is hatályos marad az UK-ban, így az UK az idei év végéig nem számít harmadik országnak.
Mi történik az átmeneti időszakot követően?
Fontos megjegyezni, hogy bármely adat, amelynek kezelését az átmeneti időszak végét megelőzően kezdték el, a továbbiakban is a GDPR szabályai alapján kell kezelni. Így az átmeneti időszak alatt UK-ba továbbított adatok részére a GDPR-ral azonos szintű védelmet kell garantálni.
Az átmeneti időszakot követően az UK-nak és az EU-nak kell tisztáznia az adatvédelem részletszabályait. Természetesen a legtöbb adatkezelőnek az lenne a legkézenfekvőbb, ha az UK továbbra is a GDPR-t alkalmazná.
Célunk, hogy a jelen weboldalon megjelent cikkekben felvetett kérdésekről rövid, összefoglaló jellegű tájékoztatás nyújtsunk. A jelen weboldal és az azon olvasható cikkek tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.
Azonban egy megállapodás nélküli, „no-deal” Brexit esetén, illetve ha a megállapodás az adatvédelemről nem rendelkezik, az UK-ra is az EU-n kívülre történő adattovábbítás szabályait kellene alkalmazni.
Az EU-n kívülre történő adattovábbítás
Az egyik legjobban kihangsúlyozott általános szabálya a GDPR-nak az, hogy az EU területén kívülre történő adattovábbítás nem megengedett, csak kevés kivétel esetén. Ezen kivételeknek három kategóriáját különböztethetjük meg, a megfelelőségi határozatokat a 45. cikk alapján, a megfelelő garanciákat a 46. cikk alapján és különös helyzetekben biztosított eltéréseket a 49. cikk szerint.
Megfelelőségi határozatok
A Brexit szempontjából a második legjobb megoldás az EU Bizottság által meghozott megfelelőségi határozat lenne. Az adat speciális szabály vagy jóváhagyás nélkül továbbítható azon harmadik országokba, amelyekben az adatvédelem szintje megfelelőnek ítéltetik. A döntés ugyan a Bizottság mérlegelésére tartozik, ezt egy meglehetősen valószínű végkimenetel, mivel az UK nemzeti joga is magas adatvédelmi követelményeket támaszt.
Megfelelő garanciák
Ha az UK-t nem találnák megfelelőnek, a következő lehetőség, hogy az adatkezelők, illetve adatfeldolgozók nyújtsanak megfelelő garanciákat. Ezen garanciákat a Bizottság, illetve a felügyeleti hatóság kell jóváhagyja/ elfogadja. A legrelevánsabb garanciák az alábbiak:
• vállalatcsoport kötelező erejű vállalati szabályai (a felügyeleti hatóság hagyja jóvá);
• általános adatvédelmi kikötések (a Bizottság fogadja el);
• általános adatvédelmi kikötések (a felügyeleti hatóság elfogadja, a Bizottság jóváhagyja);
• jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy;
• jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.
A fent említett lehetőségek vagy az adatkezelő részéről igényelnek nagy erőfeszítéseket (pl. kötelező erejű vállalati szabályok vagy magatartási kódexek előkészítése) vagy a felügyeleti hatóság proaktivitását igénylik (általános adatvédelmi kikötések elfogadása). A GDPR hatályba lépése óta általános adatvédelmi kikötések még nem kerültek elfogadásra. Ennek következtében a legtöbb adatkezelő számára a megfelelő garanciák biztosítása túl magas belépési küszöböt jelenthet.
Különös helyzetekben biztosított eltérések
Az utolsó lehetőség az különös helyzetekben biztosított eltérések, amelyeket kizárólag kivételes esetekben lehet alkalmazni és nem szolgálhatnak rendszeres adattovábbítás jogalapjaként. Ezen esetek közül a legrelevánsabbak az alábbiak:
• az érintett kifejezett hozzájárulását adta, miután tájékoztatták a harmadik országba történő adattovábbítás veszélyeiről;
• az adattovábbítás olyan szerződés teljesítéséhez szükséges, amelyben egyik fél az érintett, másik fél az adatkezelő, vagy amelyet az érintett érdekében kötöttek;
• az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
• z adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására.
Mindenesetre, amennyiben az adatkezelő ezen eltéréseket alkalmazza az EU-n kívüli adattovábbítás jogalapjaként, az adattovábbításra csak akkor kerülhet sor, ha az nem ismétlődő jellegű és csak korlátozott számú érintettre vonatkozik, továbbá az adatkezelő köteles bizonyítani a kényszerítő erejű jogi érdekét és tájékoztatni mind a felügyeleti hatóságot, mind az érintetteket. Ez tekinthető a legkevésbé kedvező lehetőségnek az adatkezelők részére a tájékoztatási kötelezettségek miatt.
Célunk, hogy a jelen weboldalon megjelent cikkekben felvetett kérdésekről rövid, összefoglaló jellegű tájékoztatás nyújtsunk. A jelen weboldal és az azon olvasható cikkek tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.