Brexiti jõustumisega 1. jaanuaril 2021 kaasnesid ka muutused ELi ja UK vahelises andmekaitses ja -vahetuses. Kui siiani reguleeris Suurbritannias andmekaitsevaldkonda Euroopa Liidu isikuandmete kaitse üldmäärus GDPR, siis alates sellest aastast ei ole GDPRi järgimine Suurbritanniale enam kohustuslik.
Euroopa Liidu ja Eesti poolt vaadates on Suurbritannia nüüd nö kolmas riik, millele peaks kohalduma GDPR-i V peatükk, mis määratleb isikuandmete edastamise kolmandatele riikidele ja rahvusvahelistele organisatsioonidele. Selle järgi toimub töödeldavate isikuandmete edastamine ainult juhul, kui vastutav töötleja ja volitatud töötleja on täitnud kõik selleks vajalikud tingimused. Üks tingimustest sätestab näiteks, et andmesubjekti peab teavitama, kui tema andmed liiguvad EList väljapoole (oluline nt juhul, kui Eesti ettevõte ostab andmetöötlusteenust UK ettevõttelt).
ELi ja Ühendkuningriigi vaheline kaubandus- ja koostööleping, mis andmekaitsel väga pikalt ei peatu, jätab võimaluse kuuekuuliseks üleminekuperioodiks (kuni 1.07.2021), mille jooksul võivad andmed kahe liitriigi vahel liikuda nii nagu enne Brexitit. Sellega kaasneb oluline klausel, et Suurbritannia ei tohi üleminekuperioodil muuta oma andmekaitsealaseid õigusakte. Kui UK peaks seda siiski tegema, peavad kõik muudatused saama eelnevalt KKL partnerlusnõukogu heakskiidu. Kui UK valitsus otsustab teha seadusemuudatusi ilma nõukogu heakskiiduta, lõpeb üleminekuperiood automaatselt. Tõenäoliselt nii siiski ei lähe ja vähemalt pool aastat jätkub kõik endiselt, st nii nagu see on olnud alates GDPRi jõustumisest.
GDPRi järgimise osas ei tohiks Suurbritannial probleeme tekkida, sest ELi liikmena osalesid nad ise Euroopa andmekaitsereeglite väljatöötamisel ning samuti on GDPRi põhimõtted UK seadustesse sisse kirjutatud ja sealsed organisatsioonid on neid järginud juba mitu aastat.
Kaitse piisavus
Kui Ühendkuningriigi andmekaitse tase on põhimõtteliselt ELi omaga samaväärne ja teatavad tingimused on täidetud, võib Euroopa Komisjon võtta vastu andmekaitse taseme piisavust kinnitava otsuse. See otsus lubaks edastada isikuandmeid Ühendkuningriiki ilma piiranguteta. Kui selline otsus vastu võetakse, siis tõenäoliselt tehakse seda enne 1. juulit 2021. Ettevõtjad peaksid siiski kaaluma, kuidas tagada isikuandmete edastamine ka juhul, kui andmekaitse taseme piisavust kinnitavat otsust vastu ei võeta.
Neid andmed, mis on UKsse saadetud enne Brexiti üleminekuperioodi või pärast üleminekuperioodi vastavalt lahkumislepingule, töödeldakse UKs edasi vastavalt GDPRile. Ehk selles osas ei ole muutusi ette näha.
Kokkuvõttes
Kuni juulini peavad UK ja EU vahel andmeid vahetavad organisatsioonid lähtuma kahest dokumendist – eelmainitud GDPRist ning ELi ja UK kaubandus- ja koostöölepingust.
Suurbritannias asuvad organisatsioonid peaksid ka nüüd, pärast Brexitit, lähtuma ELi kodanikega seotud isikuandmete töötlemisel GDPRist. Täpsemalt saab lugeda UK valitsuse leheküljelt.