A Reuters még tegnap számolt be róla bennfentes forrásaira hivatkozva, hogy a Google az Egyesült Királyság az Európai Unióból való kiválását követően a brit felhasználókat is kivonná az európai általános adatvédelmi rendelet (GDPR) hatálya aló, vagyis átköltöztetné adataikat az EU területén kívüli szerverekre, és a továbbiakban az amerikai szabályozás alapján kezelné azokat. Az értesülést utóbb a vállalat is megerősítette, bár a hírügynökség kérdéseire nem válaszolt; közleményében csak annyit állapít meg, hogy szolgáltatásain vagy a személyes adatok védelmének megközelítésén semmit sem változtat abban a tekintetben, hogy az információt hogyan dolgozza fel, vagy milyen módon értékeli a hatóságoktól érkező adatigényléseket.

A közlemény kitér arra is, hogy a brit adatvédelmi szabályozás ugyanúgy érvényben marad az ottani felhasználókra nézve. Ennek nyilván az ellenkezője lenne érdekes, de a dolog jelentőségét az adja, hogy egyelőre senki sem látja, az Egyesült Királyság továbbra is változatlan formában igazodik-e majd a GDPR-hez, esetleg lényegi változtatásokat vezet be a felhasználói adatok kezelésére vonatkozó szabályokban. Ahogy a Reuters is kiemeli, az ország éppen tárgyalásokat folytat az Egyesült Államokkal egy szélesebb körű kereskedelmi megállapodás létrehozásáról, a brit hatóságok helyzetét pedig ettől függetlenül is bonyolultabbá tenné, ha a  Google-felhasználók adatait továbbra is Írországban működő szerevereken kezelnék.

Az amerikai szabályozás (Cloud Act) viszont éppen ennek az ellenkezőjét biztosítaná, vagyis a nyomozások során éppen hogy egyszerűbb lenne adatokat igényelni a tengerentúli szolgáltatóktól. Az USA-ban érvényes törvényi kereteket a leglazább (és felhasználói szempontból a leggyengébb) szabályozások között tartják számon a meghatározó piacok között, ahol annak ellenére sem létezik semmilyen átfogó rendszer ezen a területen, hogy a fogyasztói jogvédő szervezetek már hosszú ideje sürgetik annak felállítását. A hírügynökség riportjában egyébként megszólal a Google egy korábbi illetékes vezetője is, aki szerint az lett volna a meglepetés, ha a vállalat az első adandó alkalommal nem döntött volna a mostani lépés mellett.

A kilépéssel sem csökkent a bizonytalanság

Ennek alapján már mindenki azt találgatja, hogy az Egyesült Királyságban valószínűleg olyan mértékű változtatásokat eszközölnek majd a személyes adatok kezelését illetően, hogy az ottani szabályozás teljesen elveszítheti a GDPR-rel való megfelelőségét. Ilyen felállásban a brit felhasználók és a Google ír cégének kapcsolata valóban elég kaotikusnak tűnik, az pedig ennél kevésbé helyzetekben is nyilvánvaló, hogy a technológiai szolgáltatók nem szeretnek beakadni két eltérő kormányzat vagy szabályozási rendszer közé. Ennyiben az sem jelentett volna a társaság szempontjából megfelelő megoldást, ha a brit fiókokat egyszerűen egy brit leányvállalathoz rendeli. Mivel Írország, ahol a Google és más amerikai techvállalatok európai központja is működik, természetesen továbbra is az Európai Unió tagja, a Reuters beszámolója alapján más amerikai vállalatok részéről is hasonló lépésekre lehet számítani.

A riport ezzel kapcsolatban más-más, egyaránt bennfentesnek mondott forrásokra hivatkozik, de azt is hangsúlyozza, hogy a Google-höz nagyon hasonló felállásban működő Facebook például nem válaszolt a Reuters ilyen irányú megkeresésére. Ahogy korábban már mi is többször írunk róla, az Unió még nem fogalmazta meg az adattranszferrel kapcsolatos szabályokat a brit kilépést követő átmeneti időszakon túl, a megfelelőségi értékelés pedig évekig is eltarthat. Komoly diszrupcióra így az unióból érkező személyes adatok áramlásában is számítani lehet majd, az Egyesült Királyságban működő cégek közül pedig sokan választják Írországot az új európai hídfőállás szerepére, hogy mérsékeljék jogi kitettségüket.

Ehhez kapcsolódik, hogy az ír adatvédelmi hatóság (DPC) még ebben az évben megkezdi a többi európai szabályozóval való konzultációt azokról a határozattervezetekről, amelyek az amerikai székhelyű techcégeknél indított, húsznál is több vizsgálatához kapcsolódnak. A DPC az érintett multik európai felügyeleltét ellátó szervezetként az uniós tagállamok fogyasztóvédelmi szervezeteitől érkező panaszok alapján kezdte meg az eljárásokat.