A kilépés időpontját megelőzően kezelt adatok helyzete

Azon, az EU 27 tagállama vagy az EU-n kívüli adatkezeléssel érintettekre vonatkozó személyes adatok esetében, amelyeket az Egyesült Királyságban a kilépést megelőzően kezeltek, a személyes adatok védelmére vonatkozó uniós jog továbbra is ugyanúgy alkalmazandó, ahogyan az a kilépést megelőzően alkalmazandó volt. Az adatkezeléssel érintetteket azon uniós jogi rendelkezések alapján, amelyek a kilépés előtt alkalmazandóak, az ilyen esetekben is megilleti a tájékoztatáshoz való jog, a hozzáféréshez való jog, az adatok törléséhez és azok helyesbítéséhez való jog, az adatkezelés korlátozásához való jog, az adathordozhatósághoz való jog, a tiltakozáshoz való jog, valamint megilleti az a jog is, hogy az érintett ne legyen olyan döntés tárgya, mely kizárólag automatizált módon történő adatkezelésre vonatkozik 

A személyes adat nem tárolható az adatkezelés céljához szükséges időtartamon túl. Különös szektoriális szabályok esetében, amelyek maximális kötelező tárolási időtartamot írnak elő, és amelyek alkalmazandóak a kilépés időpontjában, a tárolási időszak elteltével az érintett adatok automatikusan törlésre kerülnek. A szóban forgó személyes adatok abban az esetben továbbíthatóak Európai Unión kívüli államoknak vagy nemzetközi szervezeteknek, amennyiben azok a személyes adatok védelmére vonatkozó szabályoknak, így különösen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i, (EU) 2016/679/EU európai parlamenti és tanácsi rendelet (továbbiakban: általános adatvédelmi rendelet) V. fejezetének megfelelően kerültek továbbításra. Az adatkezeléssel érintettek emellett jogaikat a megfelelő uniós jogi rendelkezéseknek, így különösen az általános adatvédelmi rendelet VII. fejezetében foglaltaknak megfelelően érvényesíthetik abban az esetben, ha a személyes adat kezelésére a kilépést követően az Egyesült Királyságban továbbra is sor kerül.

Rendezett kilépés

Az Egyesült Királyság az Európai Unióból és az Európai Atomenergia-közösségből történő kilépéséről szóló megállapodás (a továbbiakban: Kilépési megállapodás,: elfogadása esetén az a kilépés időpontjával lép hatályba. A Kilépési megállapodás annak hatályba lépésétől egészen 2020. december 31. napjáig bezárólag átmeneti időszakot állapít meg. Az átmeneti időszak alatt a megállapodásban részletezett feltételekkel az uniós jog alkalmazandó az Egyesült Királyságra és az Egyesült Királyságban. A Kilépési megállapodás 71. cikke, valamint részlegesen a 72-73. cikke foglalkozik a személyes adatok védelmével.

A Kilépési megállapodás értelmében az Egyesült Királyságban a személyes adatok védelmére vonatkozó uniós jogszabályok alkalmazandók az átmeneti időszakban az Egyesült Királyságon kívüli adatkezeléssel érintettek személyes adatainak a kezelése tekintetében, feltéve, hogy a személyes adatok kezelése uniós jog alapján történt az átmeneti időszak végét megelőzően vagy a Kilépési megállapodás alapján az átmeneti időszak végét követően az Egyesült Királyságban kezelik [Kilépési megállapodás 71. cikk]. 

A bizalmas adatkezelésre, az adatok felhasználásának, tárolásának korlátozására, adatok és információk törlésének követelményére vonatkozó uniós jogot alkalmazni kell az egyesült királysági vagy az Egyesült Királyságban működő hatóságok, hivatalos szervek és közszolgáltató ajánlatkérők által megszerzett adatokra, információkra a kilépési megállapodás szerint, vagy ha ezen adatok, információk ilyen formában az átmeneti időszak vége előtt az Egyesült Királyságban találhatóak [Kilépési megállapodás 72. cikk.].

A Kilépési megállapodás kitér továbbá arra is, hogy az Unió nem kezelheti az Egyesült Királyságtól az átmeneti időszak vége előtt vagy az átmeneti időszak vége után e megállapodás alapján megszerzett adatokat és információkat eltérően a valamely tagállamtól kapott adatoktól, illetve információktól, pusztán azon az alapon, hogy az Egyesült Királyság már nem része az Európai Uniónak [Kilépési megállapodás 73. cikk].

Az átmeneti időszak végével az Egyesült Királyság harmadik országgá válik. Ez azt jelenti, hogy a rendezetlen kilépés alatt írtaknak megfelelően a Bizottságnak meg kellene állapítania, hogy az Egyesült Királyság megfelelő védelmi szintet biztosít a személyes adatok védelme tekintetében. E megállapítás hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó a rendezetlen kilépés esetén szükséges megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. 

Rendezetlen kilépés

Ebben az esetben az Egyesült Királyság a kilépés időpontjától kezdve harmadik országnak tekintendő.

Az általános adatvédelmi rendelet, illetve a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelv (a továbbiakban: bűnüldözési célú adatkezelésekről szóló irányelv) bár hasonló szabályozást tartalmaznak, tárgyi hatályuk azonban lényegesen eltérő. Az általános adatvédelmi rendelet illetve a bűnüldözési célú adatkezelésekről szóló irányelv hasonló szabályokról rendelkezik személyes adatok harmadik országba történő továbbításának esetére. E szabályok válhatnak alkalmazandóvá az Egyesült Királyság rendezetlen kilépését követően (valamint rendezett kilépés esetén az átmeneti időszak végét követően), tekintettel arra is, hogy – az Egyesült Királyság harmadik országnak minősül majd.

Az általános adatvédelmi rendelet 45. cikke, valamint bűnüldözési célú adatkezelésekről szóló irányelv 36. cikke szerint a hatálya alá tartozó adatkezelések tekintetében személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha az Európai Bizottság (a továbbiakban: a Bizottság) megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély. A védelmi szint megfelelőségének értékelését követően a Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet biztosítja a megfelelő védelmi szintet. A Bizottság folyamatosan figyelemmel kíséri a harmadik országokban és a nemzetközi szervezeteknél végbement azon fejleményeket, amelyek érinthetik a már elfogadott határozatok végrehajtását. 

Megjegyzendő ugyanakkor, hogy a Bizottság az Egyesült Királyság, mint harmadik ország megfelelőségét csak a kilépést követően vizsgálhatja, az erre vonatkozó tárgyalások is csak a kilépést követően indulhatnak meg. A megfelelőségi határozat tervezetét az általános adatvédelmi rendelet 93. cikk szerinti komitológiai bizottság tárgyalja meg, illetve az Európai Adatvédelmi Testület véleményét is ki kell kérni, ezért az esetleges megfelelőségi határozat esetleges elfogadásának időpontja is bizonytalan.

Megfelelőségi határozat hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. Ezek a garanciák a következők:

  • Általános védelmi kikötések (a Bizottság három ilyen modellt fogadott el, amelyek a Bizottság honlapján hozzáférhetőek: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en [általános adatvédelmi rendelet 46. cikk (2) bekezdés b) pontja]
  • Kötelező erejű vállalati szabályok („BCR”) elfogadása: ezek olyan az illetékes felügyeleti hatóság által jóváhagyott meghatározott tartalmú szabályokat jelentenek, melyek jogilag kötelező erejűek, alkalmazandóak a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, valamint általuk érvényesített és rendelkeznek kifejezetten az érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól; [általános adatvédelmi rendelet 47. cikk]
  • Magatartási kódexek a harmadik államban levő adatkezelő és adatfeldolgozó által vállalt kötelező erejű és kikényszeríthető kötelezettségvállalásokkal együtt; [általános adatvédelmi rendelet40. cikk, 46. cikk (2) bekezdés e) pontja]
  • Jóváhagyott tanúsítási mechanizmusok a harmadik államban levő adatkezelő és adatfeldolgozó által vállalt kötelező erejű és kikényszeríthető kötelezettségvállalásokkal együtt;[általános adatvédelmi rendelet 42. cikk, 46. cikk (2) bekezdés f) pontja]

Emellett megjegyzendő, hogy az általános adatvédelmi rendeletben meghatározott további, a különös helyzetekben biztosított eltérések esetén továbbítható harmadik országba személyes adat. Megfelelőségi határozat, illetve megfelelő garanciák hiányában ún. derogációk esetében tehető ez meg, úgy mint az érintett kifejezett hozzájárulása, az érintett és az adatkezelő közötti szerződés teljesítése, az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtása, adatkezelő és valamely más természetes személy vagy jogi személy közötti szerződés teljesítése,  jogi igények előterjesztése, érvényesítése és védelme, fontos közérdek érdekében, az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására valamint meghatározott feltételek teljesülése esetén nyilvántartásból történő adattovábbítás esetén [általános adatvédelmi rendelet 49. cikk (1) bekezdés].

Megjegyzendő, hogy az Egyesült Királyság 2018-ban fogadta el a Data Protection Act-et, e törvény azonban jelenleg is az általános adatvédelmi rendeletre támaszkodik kiegészítő szabályok útján, valamint átülteti a bűnüldözési célú adatkezelésekről szóló irányelvet. Az Egyesült Királyság szándékában áll ugyanakkor az ún. EU Withdrawal Act keretében – a szabályozás megtartása érdekében – a saját jogrendszerébe illeszteni az általános adatvédelmi rendeletet.