Azon, az EU 27 tagállama vagy az EU-n kívüli adatkezeléssel érintettekre vonatkozó személyes adatok esetében, amelyeket az Egyesült Királyságban a kilépést megelőzően kezeltek, a személyes adatok védelmére vonatkozó uniós jog továbbra is ugyanúgy alkalmazandó, ahogyan az a kilépést megelőzően alkalmazandó volt. Az adatkezeléssel érintetteket azon uniós jogi rendelkezések alapján, amelyek a kilépés előtt alkalmazandóak, az ilyen esetekben is megilleti a tájékoztatáshoz való jog, a hozzáféréshez való jog, az adatok törléséhez és azok helyesbítéséhez való jog, az adatkezelés korlátozásához való jog, az adathordozhatósághoz való jog, a tiltakozáshoz való jog, valamint megilleti az a jog is, hogy az érintett ne legyen olyan döntés tárgya, mely kizárólag automatizált módon történő adatkezelésre vonatkozik
A személyes adat nem tárolható az adatkezelés céljához szükséges időtartamon túl. Különös szektoriális szabályok esetében, amelyek maximális kötelező tárolási időtartamot írnak elő, és amelyek alkalmazandóak a kilépés időpontjában, a tárolási időszak elteltével az érintett adatok automatikusan törlésre kerülnek. A szóban forgó személyes adatok abban az esetben továbbíthatóak Európai Unión kívüli államoknak vagy nemzetközi szervezeteknek, amennyiben azok a személyes adatok védelmére vonatkozó szabályoknak, így különösen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i, (EU) 2016/679/EU európai parlamenti és tanácsi rendelet (továbbiakban: általános adatvédelmi rendelet) V. fejezetének megfelelően kerültek továbbításra. Az adatkezeléssel érintettek emellett jogaikat a megfelelő uniós jogi rendelkezéseknek, így különösen az általános adatvédelmi rendelet VII. fejezetében foglaltaknak megfelelően érvényesíthetik abban az esetben, ha a személyes adat kezelésére a kilépést követően az Egyesült Királyságban továbbra is sor kerül.
A kilépési megállapodás 2020. december 31. napjáig bezárólag átmeneti időszakot állapít meg. Az átmeneti időszak alatt a megállapodásban részletezett feltételekkel az uniós jog alkalmazandó az Egyesült Királyságra és az Egyesült Királyságban. A Kilépési megállapodás 71. cikke, valamint részlegesen a 72-73. cikke foglalkozik a személyes adatok védelmével.
A kilépési megállapodás értelmében az Egyesült Királyságban a személyes adatok védelmére vonatkozó uniós jogszabályok alkalmazandók az átmeneti időszakban az Egyesült Királyságon kívüli adatkezeléssel érintettek személyes adatainak a kezelése tekintetében, feltéve, hogy a személyes adatok kezelése uniós jog alapján történt az átmeneti időszak végét megelőzően vagy a Kilépési megállapodás alapján az átmeneti időszak végét követően az Egyesült Királyságban kezelik [Kilépési megállapodás 71. cikk].
A bizalmas adatkezelésre, az adatok felhasználásának, tárolásának korlátozására, adatok és információk törlésének követelményére vonatkozó uniós jogot alkalmazni kell az egyesült királysági vagy az Egyesült Királyságban működő hatóságok, hivatalos szervek és közszolgáltató ajánlatkérők által megszerzett adatokra, információkra a kilépési megállapodás szerint, vagy ha ezen adatok, információk ilyen formában az átmeneti időszak vége előtt az Egyesült Királyságban találhatóak [Kilépési megállapodás 72. cikk.].
A Kilépési megállapodás kitér továbbá arra is, hogy az Unió nem kezelheti az Egyesült Királyságtól az átmeneti időszak vége előtt vagy az átmeneti időszak vége után e megállapodás alapján megszerzett adatokat és információkat eltérően a valamely tagállamtól kapott adatoktól, illetve információktól, pusztán azon az alapon, hogy az Egyesült Királyság már nem része az Európai Uniónak [Kilépési megállapodás 73. cikk].
Az átmeneti időszak végével az Egyesült Királyság harmadik országgá válik. Ez azt jelenti, hogy a rendezetlen kilépés alatt írtaknak megfelelően a Bizottságnak meg kellene állapítania, hogy az Egyesült Királyság megfelelő védelmi szintet biztosít a személyes adatok védelme tekintetében. E megállapítás hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó a rendezetlen kilépés esetén szükséges megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.