Brexit, UK GDPR és Schrems II. – az adattovábbításról szól majd 2021

Az Egyesült Királyság (UK) és az Európai Unió között 2020. december 24-én történelmi jelentőségű együttműködési és kereskedelmi megállapodás jött létre, amely számos területen rendezi a szigetország és az EU közötti együttműködés jövőjét. A döntés mindössze öt nappal az előtt született, hogy véget ért az az átmeneti időszak, amely alatt a kilépésre történő felkészülés és a jogbiztonság érdekében változatlanul tagállamként kezelték az EU-ból formálisan 2020. január 31-én kilépett szigetországot.

Az utolsó pillanatban elfogadott megállapodás kellően borzolta azoknak a cégeknek az idegeit, amelyeknek az üzleti tevékenysége kiterjed az Egyesült Királyságra, egyebek mellett például személyes adatokat továbbítanak oda. A Brexit legfrissebb eseményeinek ismeretében érdemes tehát áttekinteni azokat a teendőket, amelyek az Egyesült Királysággal kapcsolatban lévő cégeket terhelik 2021. január 1-jétől.

A GDPR tág definíciója alapján ahhoz, hogy az adattovábbítás megtörténjen, nem kell cégközponttal, leányvállalattal rendelkezni a szigetországban, elég egy egyszerű kereskedelmi partner is. Az adattovábbítások szempontjából a tét nem kicsi, azzal, hogy a UK elhagyja az Európai Uniónak az adatok szabad áramlását biztosító egységes piacát, harmadik országgá válik, ahova a GDPR szabályai szerint csak akkor továbbíthatók adatok, ha azok – a GDPR értelmében vett – magas szintű védelme biztosított.

Ezt a GDPR akkor veszi igazoltnak, ha az Európai Bizottság határozatában megállapította az adott országról, hogy adatvédelmi berendezkedése megfelelő szintű védelmet nyújt, vagy ha maguk az adattovábbításban érintett felek adattovábbításról adattovábbításra alkalmaznak egymás közti relációjukban olyan, a GDPR által elismert mechanizmust (SCC, BCR), amellyel az adatexportőr és -importőr „feljavítja” a továbbított adatok kezelését a GDPR által megkövetelt szintre. (Léteznek az adattovábbításra egyéb mechanizmusok és kivételek is, azonban az üzleti élet jellemző igényeihez mérten a használhatóságuk elhanyagolhatóbb.)

A két opció közül a bizottság megfelelőségi határozata a kényelmesebb, hiszen ebben az esetben további aktus nélkül (időt és pénzt kímélve) kerülhet sor az adattovábbításra. Nem véletlen, hogy folyamatos célkitűzés volt, hogy a tavalyi év végéig megszülessen a UK-re vonatkozó megfelelőségi határozat. Ez nem történt meg. A Brexit-megállapodás további, legfeljebb négy hónap átmeneti időt tartalmaz (amely szükség esetén automatikusan meghosszabbodik két hónappal, ha ez ellen egyik fél sem tiltakozik), ami alatt az Egyesült Királyság az adattovábbítások szempontjából nem minősül harmadik országnak.

A cél tehát, hogy legkésőbb 2021. július 1-jéig megszülessen a UK-re vonatkozó megfelelőségi határozat.

Az igyekezet nem véletlen, hiszen a tradicionális tech inkubátorként funkcionáló Egyesült Királysághoz köthető a globális adatforgalom 11,5 százaléka, amelynek 75 százalékát az EU-val folytatja. Politikai és gazdasági igény is az EU harmadik legnagyobb kereskedelmi partnerével az adattovábbítások akadályainak lebontása egy olyan korban, amikor a kereskedelmi tranzakciók és a szociális interakciók egyaránt a digitális térbe kerültek át, és az adat vált az új olajjá.

Joggal merül fel a kérdés, hogy a GDPR-t 2020. de­cember 31-ig alkalmazó, frissen távozó tagországnál, amely 2021. január 1-jétől saját nemzeti adatvédelmi jogaként egy olyan jogszabályt alkalmaz „UK GDPR” néven, amely szinte teljes egészében a GDPR-on alapul, miért merül fel egyáltalán, hogy az adatvédelmi berendezkedése nem nyújt megfelelő védelmet. A felvetés átvezet az amerikai megfelelőségi határozatot megsemmisítő Schrems II.-ítélethez, amelyben az Európai Bíróság megállapította, hogy az amerikai jogszabályok nem nyújtanak az Egyesült Államokba továbbított európai személyes adatok számára megfelelő szintű védelmet, mivel az amerikai nemzetbiztonsági szervek szinte korlátozás nélkül hozzáférhetnek ezekhez az adatokhoz, jellemzően az amerikai szabályozás alá eső telekommunikációs társaságok révén.

Ez a probléma egyértelműen fennáll a brit titkosszolgálatok esetében is.

Egy jogvédő szervezet által indított eljárás alapján az Európai Bíróság már 2020 októberében kimondta, hogy a brit titkosszolgálatok jogosultságai, amelyek szerint a brit szolgáltatók internet- és telefonhasználatra vonatkozó tömeges adataihoz férhetnek hozzá, az európai jog alapján jogellenesek. Miután pont ezen okok miatt érvénytelenítették az amerikai Privacy Shieldet, érdekes kérdés, hogy az Európai Bizottság miként fogja ezeket a fejleményeket értékelni az Egyesült Királyság esetében. Tény, hogy ha a bizottság nem találná megfelelőnek egy frissen kilépett tagállam adatvédelmi berendezkedését, rendkívül magasra helyezné a megfelelőségi határozat eléréséhez szükséges lécet, amelyet feltehetőleg még kevésbé tudna megugrani egy, az európai jogrendszertől távolabb álló harmadik ország (jelenleg Dél-Koreával kapcsolatban folyik megfelelőségi eljárás). Ha a megfelelőségi határozat a titkosszolgálati aggályok ellenére mégis megszületne, nagy valószínűséggel lesz olyan jogvédő szervezet, amely ezt a döntést az Európai Bíróság előtt megkérdőjelezi.

További kérdés, hogy a hat hónapos átmeneti időszak elegendő lesz-e a megfelelőségi határozat meghozatalához, amely egy igen összetett és hosszadalmas eljárás. A meglévő 12 megfelelőségi határozat közül az eddigi legrövidebb eljárás is (Andorra esetében) 18 hónapig tartott.

Látható, hogy a hosszú távú megoldás még távol van, és ahogy a brit adatvédelmi hatóság (ICO) is felhívta rá a figyelmet, a 4+2 hónapos átmeneti időszakban elővigyázatosságból készen kell állni arra, hogy akár az idő rövidsége, akár más okból elmaradó határozat esetén gyorsan kell reagálni és áttérni más adattovábbítási mechanizmusra, jellemzően SCC-re.

Érdemes tehát a szükséges teendőkről útravalót adni.

Folyamatosan figyelemmel kell kísérni a legfrissebb adatvédelmi fejleményeket. Ez nemcsak az Egyesült Királyságba, hanem az USA-ba történő adattovábbítások, illetve az EDPB új ajánlásainak nyomon követése kapcsán is fontos. Ezekben a tárgykörökben olyan változások várhatók, amelyek előbb vagy utóbb aktív adatvédelmi intézkedéseket igényelhetnek az adatkezelőktől.

Pontos képpel kell rendelkezni arról, hogy továbbítunk-e adatot az Egyesült Királyságba, az Egyesült Államokba vagy bármelyik harmadik országba. Ezeket az információkat érdemes a GDPR szerinti adatkezelési nyilvántartásban összegezni, abban az esetben is, ha ez a GDPR alapján nem lenne kötelező. Ennek oka, hogy a szerteágazó adatvédelmi kötelezettségeknek csak úgy lehet eredményesen eleget tenni, ha teljes és aktuális kép áll rendelkezésre az adattovábbításokról. Nem megfeledkezve arról, hogy akár egy harmadik országbeli tárhely- vagy webalapú analitikai elemzést végző szolgáltató igénybevétele is megvalósíthatja a harmadik országba történő adattovábbítást.

Tisztában kell lenni az adattovábbításokra vonatkozó megfelelő garanciákkal. A UK esetében bár egyelőre nincs teendő, később előfordulhat, hogy megfelelőségi határozat hiányában egyéb módon (például SCC útján) kell gondoskodni az adattovábbításokról. Az USA-ba történő adattovábbítások, amelyek a Privacy Shielden alapultak, már nem jogszerűek, így más garanciát kell találni. Ha SCC-n vagy BCR-en alapul az adattovábbítás, gondoskodni kell egy új típusú, adattovábbításokra vonatkozó hatásvizsgálat elkészítéséről, amelyet az EDPB 2020. novemberi ajánlása vezetett be. Az új hatásvizsgálat alkalmazására javasolt belső folyamatrendszert ki kell alakítani. Ez a kötelezettség már valamennyi, az USA-ba irányuló adattovábbítással érintett cég esetében is fennáll.

A GDPR szabályait a brit nemzeti jogba átültető „UK GDPR” már 2021. január 1-jétől alkalmazandó. Ennek egyik következménye, hogy ha egyesült királyságbeli tevékenységi hely hiányában folynak olyan adatkezelések, amelyek célzottan az ott letelepedett személyek részére szolgáltatások vagy áruk nyújtására, illetve a UK-ben tartózkodó személyek viselkedésének megfigyelésére vonatkoznak, akkor UK-adatvédelmi képviselőt kell kijelölni, és az adatait fel kell tüntetni az adatkezelési tájékoztatókban.

Az Egyesült Királyságba történő adattovábbítás esetén célszerű frissíteni az adatvédelmi tájékoztatókat, szabályzatokat, hogy megfelelő utalásokat tartalmazzanak – a helyzet alakulásától függően – a megfelelőségi határozaton vagy más mechanizmuson alapuló adattovábbítások vonatkozásában. Az adatvédelmi jogszabályokra való hivatkozást szükség esetén a GDPR mellett a UK GDPR-ra való hivatkozással is ki kell egészíteni.

A Schrems II.-ítélet következtében az EDPB frissítette a korábbi SCC-ket, amelyeknek a végleges elfogadása 2021 első felében várható. Utána várhatóan egy év türelmi idő áll majd rendelkezésre az alkalmazásuk megkezdésére, ami jelentős adminisztratív teherrel járhat.