Az Adatvédelem és a Brexit
- január 1-jétől az Egyesült Királyságba (UK) történő adattovábbítás harmadik országba történő adattovábbításnak számít a GDPR szabályai szerint, így a továbbítás feltétele az adatok magas szintű védelmének biztosítása az Európai Unióból történő kilépést követően is. Ahhoz, hogy az adattovábbítás megtörténjen nem szükséges cégközponttal vagy leányvállalattal rendelkezni az Egyesült Királyságban, elegendő egy UK kereskedelmi partner megléte is.
A Brexit-megállapodás legfeljebb négy hónap átmeneti időt tartalmaz, amely szükség esetén automatikusan meghosszabbodik két hónappal, amennyiben sem az Európai Unió, sem az Egyesült Királyság nem tiltakozik. Az átmeneti időszak alatt az Egyesült Királyság az adattovábbítások szempontjából nem minősül harmadik országnak, azonban az idő rövidségére való tekintettel már most érdemes felkészülni az adatvédelmi szabályok változására.
- július 1-jétől az Európai Bizottság által kiadott megfelelőségi határozat (adattovábbítás garanciája) hiányában az adattovábbításban érintett felek (pl. gazdálkodó szervezetek) kötelesek gondoskodni az adatok megfelelő szintű védelméről, amelyhez GDPR szerint elismert eszköz az ÁSZF (Általános Szerződési Feltételek), angolul SSC (Standard Contractual Clauses) és a Kötelező erejű vállalati szabályozás, angolul BCR (Biding Corporate Rules) alkalmazása.
Felhívjuk szíves figyelmüket az Európai Unió Bíróságának C‑311/18. sz. ügyben, 2020. július 16. napján hozott (ún. Schrems II.) ítéletére, mely tartalmazza az EU és USA közötti adattovábbítást lehetővé tévő, Adatvédelmi Pajzs (Privacy Shield) néven futó megfelelőségi határozat érvénytelenítését. Az ítélethez hasonló okból a Bizottság is megtagadhatja a megfelelőségi határozat kiadását az Egyesült Királyság számára.
A fenti ítélet kapcsán kidolgozásra kerültek az adatok harmadik országba történő továbbításának feltételei, amely egyfajta hatásvizsgálati mechanizmus és az összes adatkezelési folyamat átvizsgálásával jár. A vizsgálat lefolytatása során meg kell győződnünk az adatok megfelelő védelmi szintjéről. Az Európai Adatvédelmi Testület 2020. novemberi ajánlása szerint a hatásvizsgálat alkalmazására javasolt egy belső folyamatrendszert kialakítani, amely kötelezettség a Schrems II. ügyben hozott ítélet alapján az Egyesült Államokba történő adattovábbítások tekintetében már fennáll és a felmerülhet az Egyesült Királyság esetében is.
Javasoljuk, hogy folyamatosan kísérjék figyelemmel a legfrissebb adatvédelmi fejleményeket, kiemelten az Európai Adatvédelmi Testület ajánlásait, mert hamarosan olyan változások várhatóak, amelyek az adatkezelők részéről adatvédelmi intézkedéseket igényelnek.
Fontos már most felmérni, hogy továbbítunk-e adatot az Egyesült Királyságba vagy az Egyesült Államokba, mint harmadik országba. Egy harmadik országbeli tárhely- vagy webalapú analitikai elemzést végző szolgáltató igénybevétele is megvalósíthatja a harmadik országba történő adattovábbítást. A felmérés eredményét pedig érdemes minden esetben az adatkezelési tevékenységek nyilvántartásában összegezni, hogy mindig rendelkezésre álljon egy aktuális kép a szervezetünk adatkezelési folyamatairól, mert csak így tehetünk maradéktalanul eleget a GDPR által előírt, szerteágazó adatvédelmi kötelezettségeknek.
Javasoljuk már most megfontolni a fenti országokba történő adattovábbítások folyamatának újragondolását, Általános szerződési feltételek, vagy Kötelező erejű vállalati szabályozás kialakítását.
A 2021. január 1-jétől alkalmazandó „UK GDPR” egyik következménye, hogy az Egyesült Királyságban – tevékenységi hely hiányában is – letelepedett személyek részére áruk vagy szolgáltatások nyújtására, illetve a UK-ben tartózkodó személyek viselkedésének megfigyelésére vonatkozó adatkezelések tekintetében (Egyesült Királyságbeli) UK-adatvédelmi képviselőt kell kijelölni, és az adatait fel kell tüntetni az adatkezelési tájékoztatókban.
Az Egyesült Királyságba történő adattovábbítás esetén javasolt frissíteni az adatkezelési tájékoztatókat, kapcsolódó dokumentumokat, hogy megfelelő rendelkezéseket tartalmazzanak az adattovábbítások vonatkozásában. Az adatvédelmi jogszabályokra való hivatkozást szükség esetén a GDPR mellett a „UK GDPR”-ra való hivatkozással is ki kell egészíteni.
Az új adatvédelmi kihívások leküzdésében, adattovábbítási szabályozások kialakításában a FORTIX az Ön segítségére is lehet!
Vegye fel velünk a kapcsolatot, hogy egyénre szabott ajánlatainkkal elősegíthessük cége megfelelését az újonnan életbe lépő adatvédelmi szabályozásnak akár tanácsadással, akár kihelyezett képzéseink segítségével.
