Începând de la 1 ianuarie 2021, Regatul Unit a părăsit definitiv Uniunea Europeana, prin finalizarea perioadei de tranzitie post-Brexit. Separarea Marii Britanii de blocul comunitar aduce numeroase schimbari si din prisma legislatiei din domeniul protectiei datelor personale.
Prin încheierea acordului comercial si de cooperare din 24 decembrie 2020 între Regatul Unit si Uniunea Europeana, a fost reglementata situatia fluxurilor de date catre Regatul Unit, care a devenit, prin urmare, o tara terta fata de Spatiul Economic European. Acest acord prevede, printre altele, ca Regatul Unit va continua sa aplice Regulamentul european privind protectia datelor (GDPR) pentru o perioada suplimentara de maxim 6 luni (deci cel mult pâna la 1 iulie 2021). În consecinta, în aceasta perioada, orice comunicare de date cu caracter personal din UE/SEE catre Regatul Unit poate avea loc în conformitate cu aceleasi reguli valabile pâna la 31 decembrie 2020 si nu va fi considerata un transfer de date catre o tara terta.
Suplimentar, Comisia Europeana si guvernul Regatului Unit s-au angajat, din nou în temeiul acordului comercial, sa încerce adoptarea de decizii de adecvare reciproce, care sa permita continuarea fluxurilor de date fără întrerupere, chiar si dupa perioada de tranzitie mentionata mai sus. În caz contrar, se vor aplica toate prevederile capitolului V din GDPR, care presupun existenta unor garantii adecvate de securitate (clauze contractuale standard, reguli corporative obligatorii, acorduri administrative, certificari, coduri de conduita) pentru a transfera date din UE si/sau din SEE catre o tara terta inadecvata sau permite unele exceptii în absenta garantiilor adecvate (consimtamântul explicit al persoanei vizate, interesul public al unui stat membru al SEE etc.).
În ceea ce priveste orice litigii sau reclamatii transfrontaliere în domeniul protectiei datelor cu operatorii de date sau procesatori stabiliti în Regatul Unit, de la 1 ianuarie 2021, Regatul Unit nu va mai aplica mecanismul „ghiseu unic” (one stop shop) care guverneaza aceste dispute între tarile SEE. În esenta, persoanele fizice sau juridice din Regatul Unit nu vor mai putea beneficia de posibilitatea de a avea de-a face cu o singura autoritate „principala” (adica, autoritatea competenta pentru sediul principal sau unic din SEE) pentru diferitele obligatii prevazute de Regulamentul european.
Cel mai important, de la 1 ianuarie 2021, operatorii si procesatorii cu sediul în Regatul Unit care fac obiectul aplicarii GDPR în conformitate cu articolul 3 alineatul (2) trebuie sa desemneze un „reprezentant” în UE în conformitate cu prevederile articolului 27 din GDPR. Acest reprezentant poate fi contactat de catre autoritatiile de supraveghere si de catre persoanele vizate pentru orice probleme legate de activitatile de prelucrare a datelor; de asemenea, reprezentantul va avea si rolul de a asigura respectarea GDPR de catre operatorul de date personale din Marea Britanie.