Az Egyesült Királyság hosszú huzavona és egy csomó különféle konstrukció felvetése után kilépett az Európai Unióból, de az idáig vezető út sem volt egyszerű. A tavalyi év végéig tartó átmeneti időszak alatt a felek közötti kapcsolatokat szabályzó korábbi szabályok érvényesek maradtak az adatvédelem területén is. Mivel december közepén még nem látszódtak az EU és az Egyesült Királyság közötti megegyezés körvonalai, ezért az Európai Adatvédelmi Testület tájékoztatásokat adott ki, amelyek a megállapodás nélküli Brexit esetére nyújtottak iránymutatásokat az unióból az Egyesült Királyságba történő adattovábbítások tekintetében.
Ezt követően, december 24-én megszületett az EU és az Egyesült Királyság közötti kereskedelmi és együttműködési megállapodás, amit a tárgyaló felek képviselői december 30-án aláírtak, és az Egyesült Királyság parlamentje ratifikálta. Mivel az Európai Parlament csak később, valamikor az idei év elején fogja ratifikálni a megállapodást, ezért azt január elsejével egyelőre ideiglenesen alkalmazzák.
A megállapodás adatvédelemmel kapcsolatos legfontosabb rendelkezése, hogy személyes adatok további garanciák nélkül továbbíthatók az unióból az Egyesült Királyságba az átmeneti időszak végétől számított 4 hónapig. Ez a határidő automatikusan meghosszabbodik 2 hónappal, amennyiben sem az EU, sem az Egyesült Királyság nem tiltakozik ellene. Ennek feltétele, hogy az Egyesült Királyság a továbbiakban is alkalmazza a GDPR szabályait, ahogyan az a nemzeti jogában átültetésre került. Ez az időszak hamarabb véget ér, ha időközben az Európai Bizottság megfelelőségi határozatot fogad el az Egyesült Királyság vonatkozásában.
"A megállapodás legnagyobb jelentősége adatvédelmi szempontból, hogy az átmeneti időszak lejártát követő legfeljebb 6 hónapos időtartam alatt továbbra is külön intézkedések nélkül lehet az Egyesült Királyságba személyes adatot továbbítani. Ez azt jelent, hogy egyelőre nincs szükség speciális garanciák, például általános szerződési feltételek alkalmazására az ilyen jellegű adattovábbítások vonatkozásában. Az Egyesült Királyság adatvédelmi hatósága, az ICO azonban felhívta a figyelmet arra, hogy a vállalkozásoknak ez alatt a 6 hónap alatt észszerű elővigyázatosságból fel kell készülniük arra is, hogy megfelelőségi határozat hiányában alternatív adattovábbítási mechanizmusokat alakítsanak ki" - hangsúlyozta dr. Vári Csaba, a Baker McKenzie adatvédelmi csoportvezetője.
Fontos tudni, hogy a megállapodás szerint egyik fél sem engedélyezi, hogy magánszemélyek részére hozzájárulásuk nélkül lehessen direkt marketing kommunikációs üzeneteket küldeni. Ugyan a cégek az úgynevezett "soft opt-in"-t alkalmazhatják, azaz ügyfeleik részére küldhetnek hasonló termékekről, szolgáltatásokról közvetlen üzletszerzés célú üzenetet, ha ez ellen az érintettek nem tiltakoznak, azonban például Magyarországon ez a módszer nem megengedett.
Az EU és az Egyesült Királyság megállapodott abban is, hogy bilaterális és multilateriális szinten is együttműködnek az adatvédelem területén párbeszéd, tapasztalatcsere és bűnügyi együttműködés útján. Ez azt mutatja, hogy az ICO továbbra is szorosan együttműködhet az Európai Bizottsággal, az Európai Adatvédelmi Testülettel és az EU-s felügyeleti hatóságokkal.
Az adatlokalizáció vonatkozásában a felek megállapodtak, hogy egyikük sem fogja előírni, hogy adatokat (beleértve személyes adatokat is) saját területükön kelljen tárolni vagy kezelni. A megállapodás kitér arra is, hogy a felek bűnüldözés területén történő együttműködése feltétele megfelelő garanciák biztosítása az adatvédelmi jogszabályaikban. Bármely fél felfüggesztheti ezt az együttműködést abban az esetben, ha a másik fél adatvédelmi rendszerében súlyos és rendszerbeli hiányosságok mutatkoznának.
Néhány ügyben a megállapodás nem tartalmaz speciális előírást, azonban a Brexit kapcsán fontos megemlíteni, hogy az Egyesült Királyságból az Európai Gazdasági Térség (EGT) területére történő adattovábbítások a továbbiakban is külön garanciák nélkül történhetnek, mivel az Egyesült Királyság az adatvédelem tekintetében már valamennyi EGT tagállamot megfelelő szintűnek tekint. Továbbá, az Egyesült Királyság megfelelőségi határozatokat hozott azon nem EGT tagállamok vonatkozásában, amelyek kapcsán a Bizottság is hozott már megfelelőségi határozatot, ezért ezen országokba is korlátozások nélkül lehet személyes adatot továbbítani. Fontos megjegyezni, hogy ezek egyoldalú határozatok, azaz az Egyesült Királyság részéről bármikor visszavonhatók, módosíthatók vagy kiegészíthetők.