HOGYAN TOVÁBBÍTHATSZ SZEMÉLYES ADATOKAT AZ EGYESÜLT KIRÁLYSÁGBA A BREXIT UTÁN?

28 October 2020

Habár az Egyesült Királyság már 9 hónapja kilépett az EU-ból, az év végéig tartó átmeneti időszak alatt még alkalmazandók az uniós jogszabályok a szigetország vonatkozásában, így a gyakorlatban még nem szembesültünk a Brexit utáni jogi környezettel. Az elhúzódó folyamat miatt könnyen elkerülheti az EU-ban tevékenykedő vállalkozások figyelmét, hogy 2021 januártól már nem továbbíthatnak személyes adatokat az Egyesült Királyságba úgy, ahogyan eddig tették. Az év végéig viszont még van idő rendezni a szigetországba történő adattovábbítás jogszerűségét, az erre vonatkozó lehetőségeket rövid cikkünkben elemezzük.

1. Mi minősül személyes adatok továbbításának?

A probléma megoldása a probléma felismerésével kezdődik, azaz tudnod kell, mikor beszélünk adattovábbításról. A GDPR[1] szerinti adattovábbításnak minősül, ha az adatkezelő személyes adatot továbbít másnak, ami alatt a vállalatcsoportba tartozó többi vállalkozást, anya- és leányvállalatokat is érteni kell.[2] Személyes adatnak minősül bármely információ, mely alapján egy természetes személy azonosítható[3]. Az üzleti életben napi szinten továbbítunk személyes adatokat, email címektől kezdve egy scan-elt igazolványon keresztül egy bemásolt üzenet tartalmáig bárhol előfordulhatnak ilyen adatok.

A fentiek alapján bizonyára Te is továbbítottál már személyes adatot, melynek jogszerűségét valószínűleg a GDPR bevezetése környékén megvizsgálta a cég egy szakértő bevonásával. Amennyiben az Egyesült Királyságban található partnernek továbbítasz személyes adatokat, a céged által eddig alkalmazott megoldások nagy valószínűséggel nem lesznek alkalmazhatók 2021 januárjától, így az adatkezelést felül kell vizsgálni.

2. A GDPR és a BREXIT

Amíg az Egyesült Királyság az EU tagja volt, a tagországokból ide történő adattovábbítás nem jelentett különösebb nehézséget, mivel az EU-n belül biztosított a személyes adatok szabad áramlása a különböző tagországok között. Ennek alapja, hogy az egységes uniós szabályozás értelmében minden tagország köteles (és kötelezhető) arra, hogy az adatvédelmi szabályait összehangolja az Uniós joggal, így az adatvédelemmel kapcsolatos állami garanciák elvileg valamennyi tagállam részéről biztosítottak.

A Brexit eredményeképp viszont az Egyesült Királyság 2021. január 1. napjával kikerül a teljes uniós jog hatálya alól, így a többi, „nem EU” tagállamhoz hasonlóan harmadik országnak fog minősülni.

Ez a tagállamok számára azt jelenti, hogy a szigetországba ezentúl csak korlátozottan, a GDPR-ben meghatározott követelmények teljesülése esetén lehet személyes adatokat továbbítani[4].

3. Melyek a GDPR-ban meghatározott esetek?

A Rendelet az alábbi esetekben teszi lehetővé a harmadik országba történő adattovábbítást:

a) Megfelelőségi határozat

b) Bizottság által jóváhagyott „Általános Szerződési Feltételek” (SCC)

c) Kötelező erejű vállalati szabályok (BCR)

d) egyéb, speciális esetek és kivételek

A lehetőségek közül a valamennyi vállalkozás számára releváns a) és b) esetet ismertetjük.

4. A Megfelelőségi határozat kérdésköre

A Rendelet megengedi a harmadik országba történő adattovábbítást, amennyiben az Európai Bizottság ún. megfelelőségi határozatban kinyilvánítja az adott országról, hogy megfelelő védelmi szintet nyújt a személyes adatokkal kapcsolatban.[5] Az EU eddig több országgal kapcsolatban hozott megfelelőségi határozatot, ilyen például Izrael, Svájc, Új-Zéland vagy Japán. Az Egyesült Királyság esetén erről 2020 után fognak dönteni.

Amennyiben az EU megállapítja, hogy az Egyesült Királyság az EU-val azonos, megfelelő védelmi szintet nyújt, az adattovábbítás voltaképp az eddigi gyakorlat szerint folytatódhat.

A szakértők azonban szkeptikusak a megfelelőségi határozatot illetően, elsősorban azon okokból, melyek miatt 2020 nyarán az EU Bírósága a „Schrems II”[6] ítéletben hatálytalanította az USA-ba történő adattovábbítást lehetővé tevő Privacy Shield-et.

A Privacy Shield bukását az okozta, hogy az USA nemzetbiztonsági szerveinek olyan adatgyűjtési és megfigyelési jogosultságai vannak, melyek összeegyeztethetetlenek az Európai Unió személyes adatok védelmére vonatkozó alapelveivel, továbbá a megfigyelés alanyainak sok esetben nincs lehetőségük megfelelő jogorvoslatra az esetleges jogsértésekkel kapcsolatban.

A szakértők kiemelik, hogy az Egyesült Királyság szándéka a nemzetbiztonsági célú megfigyelések kiterjesztése, így kérdéses, hogy ezen törekvés mellett a jövőben megvalósulhat-e az EU-val azonos védelmi szintet deklaráló megfelelőségi határozat.

5. A Bizottság által jóváhagyott Általános Szerződési Feltételek

A megfelelőségi határozat hiányában a vállalkozásoknak kell „kézbe venni” az ügyet és az adattovábbítás címzettjével az EU Bizottsága által közzétett sablon szöveget (ÁSZF) tartalmazó szerződést kötni, melyben a címzett bizonyos garanciákat vállal a személyes adatok védelmével kapcsolatban, többek közt, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.[7]

Az ilyen szerződésekkel elméletben rendezhető a harmadik országba történő adattovábbítás, ám a Schrems II ítélet rámutatott a módszer alapvető hiányosságára: a szerződést aláíró címzett esetében az országa és annak szervei nem részesei a szerződésnek, így az nem képes rendezni, hogy pl. a nemzetbiztonsági szervek hogyan férhetnek hozzá a továbbított személyes adatokhoz.

Habár az EU Bírósága nem minősítette jogellenesnek az ÁSZF-ek használatát, megállapította, hogy az adatokat továbbító fél felelőssége megvizsgálni, hogy a harmadik országban található címzett esetén garantálható-e az EU-val azonos védelmi szint fennállása, az adatok továbbítására csak ebben az esetben van lehetőség.

Az EU ezidáig nem adott iránymutatást arra vonatkozóan, hogy a vizsgálatot hogyan kell lefolytatni. Emellett az is kérdéses, hogy miután az EUB kimondta, hogy az USA ꟷtöbbek közöttꟷ a nemzetbiztonsági célú megfigyelések miatt nem tudja biztosítani a szükséges garanciákat, hogyan lehet egy USA-ban található címzett esetén ennek ellenkezőjét megállapítani az ÁSZF megkötésekor. Az ÁSZF alkalmazhatósága emiatt az USA mellett a hasonló nemzetbiztonsági megfigyelést szorgalmazó Egyesült Királyság esetében is megkérdőjelezhető.

6. Összegzés

A jelenlegi állapot szerint 2021 első napján új fejezet kezdődik az EU-ból az Egyesült Királyságba történő adattovábbításban, viszont ennek részletei ezidáig bizonytalanok. A Megfelelőségi határozat elérése esetén az adattovábbítás az eddigiek szerint folyhatna, viszont amíg ez nem történik meg, a vállalkozásoknak választani kell: vagy mellőzik az adattovábbítást, vagy adattovábbításra vonatkozó ÁSZF-et kötnek az angol partnerrel, melynek megfelelősége jelenleg kérdéses. Amennyiben további információra van szükséged a témával kapcsolatban, javasoljuk adatvédelemben jártas jogi szakértő megkeresését.