GDPR, adatvédelem: új szabályok az Egyesült Királyság és az EU között

GDPR, adatvédelem: új szabályok az Egyesült Királyság és az EU között

Az Egyesült Királyság Európai Unióból történő kilépésével európai szempontból harmadik országgá vált. Ennek következtében az Egyesült Királyságba irányuló adattovábbítások vonatkozásában a 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) pótlólagos, adattovábbítási feltételei alkalmazandók. Ezzel azonos a helyzet, ha az Egyesült Királyságban bejegyzett vállalkozás kíván az Európai Unió vagy más harmadik ország irányába személyes adatokat továbbítani. Cikkünkben ezen adatmozgások szabályozását mutatjuk be röviden.

2021. június 30-án az Európai Bizottság elfogadta a megfelelőségi határozatot

A GDPR értelmében harmadik országba személyes adat abban az esetben továbbítható, ha a személyes adatok ugyanolyan szintű védelemben részesülnek a fogadó ország jogrendje által, mint a GDPR által. Az azonos szintű védelem elvével összefüggésben a személyes adatok védelmére vonatkozó jogszabályok (például érintetti jogok biztosítottak-e), a jogsértéseket kivizsgáló hatóságok, illetve a szankciók megfelelősége vizsgálandók elsősorban.

A megfelelésnek a GDPR számos módját ismeri, ezek közül a legegyszerűbb az úgynevezett megfelelőségi határozat meghozatala. Ennek keretében első lépésben az Európai Bizottság tesz javaslatot, amely javaslatot az Európai Adatvédelmi Testület véleményez, majd pedig azt az egyes tagállamok jóváhagyják. A jóváhagyást követően a döntést az Európai Bizottság fogadja el.

Ha tehát az Európai Bizottság megfelelőségi határozatban úgy dönt, hogy egy adott ország jogrendje a személyes adatoknak megfelelő szintű védelmet biztosít, abban az esetben az adattovábbítás jogszerű és az lényegében "belföldi" adattovábbításnak számít. Megfelelőségi határozatot fogadott el az EU egyebek mellett Andorrával, Argentínával, Kanadával, Izraellel, Japánnal, Új-Zélanddal, Dél Koreával és Svájccal. Nem került ugyanakkor sor ilyen határozat elfogadására az Egyesült Államokkal, mely ország vonatkozásában több európai fórum kiemelte a védelem elégtelen szintjét.

Az Egyesült Királysággal tavaly nyáron fogadott el az EU megfelelőségi határozatot, ami viszont csupán 4 évre szól (sunset clause). Az Egyesült Királyság jelenleg ugyanis továbbra is biztosítja a GDPR szabályozási elveinek további alkalmazását, ám nem zárta ki a szabályok változtatásának lehetőségét. További részletek itt olvashatók.

2022. március 21. napján léphet hatályba az Egyesült Királyság adattovábbítási szabályozása

Az Egyesült Királyság az EU-ból történt távozását követően saját adatvédelmi joganyagát alkalmazza, mely lényegében a GDPR szabályrendszerével egyezik meg. A brit kormány ugyanakkor jelezte, hogy a szabályrendszer egyszerűsítésére, a vállalkozásokhoz közelítésére készül, ami viszont még nem történt meg. A 2022. március 21-én hatályba lépő tervezet (International Data Transfer Agreement, Standard Contractual Clauses) a GDPR szabályrendszeréhez hasonlóan megköveteli az Egyesült Királyságból más országokba továbbított személyes adatok fogadó országbeli megfelelő, jogi védelmét. Ennek egyik eszköze a GDPR-hoz hasonlóan meghatározott általános szerződési feltételek alkalmazása. A brit mintafeltételek ugyanakkor nem tesznek különbséget adatkezelő és adatfeldolgozó között, illetve lényegesen egyszerűbb felépítésűek (a vonatkozó részeket egyszerűen be kell ikszelni).

Forrás: Adózóna

Üzenjen nekünk

Close