Az Európai Bizottság 2021. február 19-én közzétette az Egyesült Királysággal kapcsolatos un. megfelelőségi döntésének tervezetét
(draft version, elérhető az alábbi linken a GDPR hatálya alá tartozó adatkezelések tekintetében: https://ec.europa.eu/info/sites/info/files/draft_decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_19_feb_2020.pdf )
A tervezet maga is visszautal a Európai Unió Bíróságának ítéleteiben (pl. Schreems II.) megfogalmazott szempontokra, amikor rögzíti, hogy egy-egy ország, vagy régió adatvédelmi szempontú megfelelőségének értékelésekor nem pusztán az adott ország jogszabályainak szó szerinti összehasonlítását kell végrehajtani az EU jogával. Sokkal fontosabb, hogy az ország jogrendjének felépítését, a demokratikus állam berendezkedés alkotmányos szabályait, az emberi jogi alapelveknek, illetve a hatékony és érdemi jogvédelemnek a rendszerét vizsgáljuk. Mindezek mögött természetesen figyelembe kell venni az írott (vagy precedens jog) szabályait is, de önmagukban ezek vizsgálata nem elegendő. (Érdekes, hogy mindezek után a tervezet gyakorlatilag az Egyesült Királyság által implementált GDPR, és a kapcsolódó szabályok részletes, szövegszerű elemzését tartalmazza, igaz az eltérésekre fókuszálva.)
A tervezet bemutatja az Egyesül Királyság alkotmányos berendezkedésének alapvető jellemzőit, a jogvédelem (és ezen belül különösen a személyes adatok kezelésével összefüggő esetekben igénybe vehető) eszközeit, fórumait. Ugyancsak rögzíti a munkaanyag azokat a jogalkotási lépéseket, amelyeket az Egyesült Királyság a brexit döntést követő átmeneti időszakban meghozott, készülve az EU-ból történő tényleges kilépésre. Mindezek között talán a legfontosabb, hogy a 2018-ban elfogadott un. EU kilépési törvényben az Egyesült Királyság inkorporálta (vagyis a belső jog részévé tette) azokat az EU normákat, amelyek alkalmazását az átmeneti időszak lejártát követően is biztosítani kívánta. Ennek keretében tehát a GDPR (beleértve annak preambulum bekezdéseit is- UK GDPR) az Egyesült Királyság belső jogának részévé vált. (Megemlítendő, hogy az uniós szabályozáshoz hasonlóan a UK GDPR sem vonatkozik az arra jogosult hatóság bűnügyi eljárásokban folyatott adatkezeléseire, mivel azt az Egyesült Királyságban is külön normák szabályozzák, illetve e tekintetben – noha a szükséges mértékben ez az anyag is kitér e kérdésekre – a Bizottság is külön vizsgálta a megfelelőséget.)
Mindez azt jelenti, hogy az angol bíróságok a kilépést követően a GDPR előírásainak megfelelő szabályokat (természetesen a belső jog egyéb előírásaival együtt, mint pl. a szintén 2018-as adatvédelmi törvény, illetve a bíróságok releváns esetjogában, a precedensekben foglaltakat) mint belő normákat kötelesek alkalmazni. Természetesen ez egyben azt is jelenti, hogy a UK GDPR már nem az belső adatvédelmi előírások „fölött” álló norma, hanem csak az egyik adatvédelmi kérdéseket szabályozó törvény az Egyesült Királyságban. Erre tekintettel a munkaanyag számításba veszi a személyes adatok kezelésével összefüggő olyan végrehajtási jogi aktusokat is, amelyeket az átmeneti időszakban az angol jogalkotók (minisztériumok) kibocsátottak.
Külön kitér a tervezet az angol adatvédelmi hatóság (ICO) szerepére, hatásköreire megállapítva, hogy annak szerepe, feladatköre, jogállása megfelel a „független felügyeleti hatóság” státusz kritériumainak, emellett a különféle iránymutatások, ajánlások kibocsátásra vonatkozó jogköre a megfelelő adatvédelmi gyakorlat előmozdítását, erősítését segíti.
A tervezetnek a jövőre nézve talán az egyik legérdekesebb pontja a 2.5.7 pont, amely az Egyesült Királyságból kifelé irányuló adattovábbítások esetkörét, illetve annak szabályozását vizsgálja. (Ugyancsak érdekes ehhez kapcsolódóan – bár inkább a jogosult hatóságok által adattovábbítások esetköre – a 3.2.2 pontban részletezett az illetékes hatóságok által összegyűjtött információk további használata”, bár az anyag kiemeli, hogy az angol szabályozás szerint ezen esetekre is érvényesek a 2018-as angol adatvédelmi törvény alapelvei . Ennek kapcsán a brit és az amerikai nemzetbiztonsági szervek közötti információ megosztást szabályozó Umbrella Agreement miatt merülhetnek fel kérdések, amelynek részletei még egyeztetés alatt állnak.)
Előzetesen annak kapcsán merültek fel elsősorban aggályok a kilépést követő megfelelés tekintetében, hogy az angolok (főképp az USA vonatkozásában) vajon tudják-e, akarják e tartani magukat a GDPR.-ban foglalt harmadik országokba irányuló adattovábbítások ( Screems II után az USA irányába még inkább szigorodó) rezsimjéhez. E tekintetben a brit szabályozás kapcsán megállapítja az anyag, hogy a nemzetközi (vagyis az Egyesült Királyságon kívül található címzetthez irányuló ) adattovábbítások esetén a címzettnek hasonló („similar”) védelmi szintet kell biztosítania, mint amilyen a brit. A Bizottság léthatóan nem akadt fenn a GDPR által elvárt megfelelő („adequate”), illetve a brit szabályozásban szereplő hasonló („similar”) védelmi szint között érezhetően kidomborodó fogalmi eltérésen. A megállapítottak szerint a UK GDPR elfogadása, a 2018-as angol adatvédelmi törvénnyel együtt fontos lépések voltak az EU-ból az Egyesült Királyságba, illetve ezt követően esetleg onnan harmadik fél felé kifelé irányuló adattovábbítások helyzetének rendezése tekintetében.
(A UK GDPR szerint miniszteri jogkörben hozható un. megfelelőségi határozat egy ország, régió, vagy szervezet tekintetében arról, hogy a személyes adatok védelmének azonos szintjét biztosítja, mint a brit szabályozás.)
A megállapított konklúzió szerint – meglepetést egyáltalán nem okozva – a Bizottság rögzítette, hogy az Egyesült Királyságban személyes adatok védelmét biztosító intézményrendszer megfelelő, továbbá a belső adatvédelmi jog előírásai alapvetően nagyon hasonlóak az EU szabályozásához. Mindezekre tekintettel az Egyesült Királyságban biztosított a személyes adatok védelmének az EU-s védelemnek megfelelő szintje. A döntés felülvizsgálatát alapesetben 4 év múlva irányozza elő a Bizottság.
A munkaanyag kapcsán egy gyakorlati észrevétel mindenképpen felmerül: a bizottság is hivatkozik az anyagban az EU Bíróságának döntéseiben megfogalmazott elvárásokra (különösen a Screems II. döntés). Kétségtelen, hogy az EU Bírósága a harmadik országba irányuló adattovábbítások esetén a megfelelőség vizsgálata tekintetében – a GDPR előírásaiból leveztetve – meglehetősen széleskörű feladatot irányoz elő az jövőben ilyen adattovábbítást végrehajtani szándékozó adatkezelők tekintetében. Az Európai Adatvédelmi Testület ezeket a feladatokat iránymutatásaiban később részletesebben is kifejtette (ld. pl. az EDPB 02/2020 sz. ajánlását a harmadik országba irányuló adattovábbítások alapvető garanciáiról).
A Bizottság igen alapos – és a brit jogi berendezkedés, szabályozás, gyakorlat széles spektrumát vizsgáló munkaanyagát olvasva azonban alappal merülhet fel a kérdés bennünk: egy-egy harmadik országba adatot továbbítani szándékozó adatkezelőnek vajon hasonló alaposságú vizsgálatot kell lefolytatnia, mielőtt az adattovábbításról (illetve az azt megalapozó modell szerződés alkalmazásáról) dönt? Amennyiben a kérdésre igen a válasz, az ennek életszerűségével (teljesíthetőségével) kapcsolatos kérdések megválaszolását már a Tisztelt Olvasóra bíznám.