A Bizottság jóváhagyta az Egyesült Királyság adatvédelmi megfelelőségét

Megosztás Tetszik

Az Egyesült Királyság EU-ból történő kilépését követően azonnal felvetődött a kérdés, hogy mi lesz azon személyes adatokkal, amelyet az EU-ból az Egyesült Királyságba továbbítunk. Ez történhet úgy, hogy a vállalatcsoport egyik tagja van ott, de úgy is, hogy egy szerverszolgáltató vagy marketingszolgáltató. A kilépés óta ugyanis az Egyesült Királyság harmadik országnak minősül. Az alábbiakban az Európai Bizottság döntése alapján ezt a kérdést járjuk körbe.

Az Európai Gazdasági Térség (EGT), mely az Európai Unió tagállamain kívül Izlandot, Liechtensteint és Norvégiát öleli fel, a 2016/679. számú Általános Adatvédelmi Rendeletet (GDPR) alkalmazza, mely rendelet a személyes adatok magas szintű védelmét hivatott biztosítani. A GDPR különös rendelkezéseket tartalmaz az ilyen adattovábbításokra vonatkozóan. E rendelkezések célja, hogy a személyes adatok EGT-n belüli továbbításával azonos szintű védelmet biztosítson.

Az EGT területén kívüli adattovábbításnak az alábbi feltételei vannak. Először is az adatkezelő vagy adatfeldolgozó az adott adatkezelés tekintetében a GDPR hatálya alá kell, hogy tartozzon. Ezen túlmenően ez az adatkezelő vagy -feldolgozó továbbítás útján vagy más módon más szervezet (adatkezelő vagy –feldolgozó) rendelkezésére bocsátja a személyes adatokat és ez a másik szervezet EGT-n kívüli országban van, vagy nemzetközi szervezet.

Az megfelelőségi határozat alapján, vagy ilyen határozat hiányában megfelelő garanciák alapján kerülhet sor, csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek rendelkezésre állnak. Az Európai Bizottság eddig megfelelőségi határozatokat fogadott el a következőkre vonatkozóan: Andorra, Argentína, Kanada (kereskedelmi szervezetek), Feröer-szigetek, Guernsey, Izrael, Man-sziget, Japán, Jersey, Új-Zéland, Koreai Köztársaság, Svájc, Egyesült Királyság, Egyesült Államok (az EU-USA adatvédelmi keretrendszerben részt vevő kereskedelmi szervezetek), és Uruguay. Az Európai Bizottság honlapján közzéteszi megfelelőségi határozatainak listáját. Az Egyesült Királyság tehát részese volt azon országok körének, melyek tekintetében az adattovábbítás lényegében belföldi adattovábbításnak minősül.

Először UK GDPR, majd DUAA jött

Az Egyesült Királyság sokáig még fenntartotta az adatvédelem GDPR alapú szabályozását és ezt a szabályozást hívták UK GDPR-nak. Ez a szabályozás lényegében szövegszerűen, paragrafusszámokkal együtt megegyezett a GDPR-ban foglaltakkal. Ameddig tehát ez a szabályozás érvényesült, fel sem vetődött, hogy az EU ne fogadná el. Az Egyesült Királyság azonban 2025. június 19. napján hivatalosan is elfogadta a Data Use and Access Act-et (DUAA), mely módosította az adatvédelmi szabályait.

Változott többek között a felügyeleti hatóság és annak összetétele, hatásköre, az adatvédelmi panasz benyújtásának szabályai, az automatizált döntéshozatal, profilalkotás szabályozása, a hírlevélküldés, a sütiszabályozás, az eltérő célú adatfelhasználás szabályozása, valamint a gyermekek számára nyújtott online szolgáltatások szabályozása. Ez a változás pedig azért fontos, mivel érintheti az Egyesült Királyság tekintetében fennálló EU-megfelelőségi döntést, mely 2025. december 27-én járt le. Mivel a módosított szabályozás eltérést jelent a GDPR-hoz képest, félő volt, hogy a megfelelőségi döntés veszélybe kerülhet.

EU Bizottság: Nem tért el érdemben az Egyesült Királyság a GDPR védelmi szintjétől

2025. december 23-ai hatályba lépéssel megjelent a Bizottság 2025/2574 végrehajtási határozata. A végrehajtási határozat megállapítja, hogy az (EU) 2016/679 rendelet 45. cikkének alkalmazásában az Egyesült Királyság biztosítja az említett rendelet hatálya alá tartozó, az Európai Unióból az Egyesült Királyságba továbbított személyes adatok megfelelő szintű védelmét.

A Bizottság folyamatosan nyomon követte az Egyesült Királyságban bekövetkezett releváns fejleményeket. Különös figyelmet fordítottak az Egyesült Királyságnak a személyes adatok harmadik országokba történő továbbítására vonatkozó szabályainak gyakorlati alkalmazására, valamint arra, hogy e szabályok milyen hatással lehetnek a továbbított adatok védelmének szintjére, valamint az egyéni jogok gyakorlásának hatékonyságára, ideértve az ilyen jogok alóli kivételeket vagy korlátozásokat érintő törvényi és gyakorlati fejleményeket (nevezetesen a határt átlépő személyforgalom hatékony ellenőrzésének fenntartásával kapcsolatosakat), valamint a kormányzati hozzáféréssel kapcsolatos korlátozások és biztosítékok betartására. Többek között az ítélkezési gyakorlat alakulása, valamint az Információügyi Biztos Hivatala és a más független testületek általi felügyelet szolgáltatott adatokat a Bizottság általi nyomon követéshez. Ezen fejlemények értékelése alapján, beleértve az Egyesült Királyság általános adatvédelmi rendeletének és a 2018. évi adatvédelmi törvénynek az adatok felhasználásáról és az azokhoz való hozzáférésről szóló törvény általi módosításait, a Bizottság arra a következtetésre jut, hogy az Egyesült Királyság továbbra is megfelelő szintű védelmet biztosít az (EU) 2016/679 rendelet hatálya alá tartozó, az Európai Unióból az Egyesült Királyságba továbbított személyes adatok védelme tekintetében. A felülvizsgálatot az EU legalább 4 évente meg fogja ismételni.