От 01.01.2021г. Обединеното Кралство се превърна в трета за Европейския съюз (ЕС) държава, поради което трансферът на данни следва да се осъществява по реда на специалните правила на главa V, чл. 44 до чл. 50 от Общия регламент за защита на данните 2016/679 на Европейския парламент и на Съвета (ОРЗД/GDPR).
Въпреки това, по силата на Споразумението за търговия и сътрудничество се предвижда период от 4+2 месеца (до 30.04.2021г., а в случай че няма противопоставяне от никоя от страните по споразумението и все още не прието решение за адекватно ниво на защита от Европейската комисия – до 31.06.2021 включително), в който трансферът на лични данни от България (ЕС) към Обединеното кралство няма да се третира като международен. В този период трансферът продължава да се осъществява свободно при условие, че Обединеното кралство не променя досега действащия на територията му режим за защита на данните. По същество, това значи, че Обединеното кралство се задължава да продължи да прилага правилата за защита на данните, установени от правото на ЕС, които бяха приложими в периода на прехода. Aко по време на определения срок Обединеното кралство измени приложимия режим за защита на данните или упражни определени правомощия без съгласието на Съюза, посоченият срок изтича на датата, на която правомощията са упражнени или изменението влиза в сила.
След края на определения срок и в случай че ЕК не приеме окончателно решение за адекватно ниво на защита на личните данни в полза на Обединеното кралство, отношенията във връзка с преноса на данни към Острова следва да се подчинят на специалните правила, предвидени за износ на лични данни към държави, които не са обвързани от ОРЗД.
В тази връзка, на 19.02.2021г. и на основание чл. 45 от ОРЗД Европейската комисия представи Проект на Решение за адекватно ниво на защита, осигурявано от Обединеното кралство, който вече е изпратен за становище на Европейския комитет по защита на данните. Становището трябва да бъде последвано от одобрение на комитет, съставен от представители на държавите членки на ЕС. Щом тази процедура приключи, Комисията може да приеме официално решението за адекватност. В случай че Решението стане окончателно преди изтичане на определения срок, преносът на данни към Острова ще се осъществява въз основа на него и няма да са необходими по-нататъшни разрешения от надзорните органи, какъвто например е Комисията за защита на личните данни у нас (КЗЛД).
В случай обаче че Решението за адекватно ниво на защита не стане факт в определения срок, за да продължи трансферът на данни към Обединеното кралство, администраторът или обработващият, обвързани от ОРЗД, могат да изнасят данни към Острова без предварително разрешение при предвидени подходящи гаранции и при условие че субектите на данни разполагат с реална възможност да упражнят правата си и с ефективни средства за защита спрямо вносителя в Кралството. Такива подходящи гаранции могат да са Стандартните договорни клаузи (СДК), приемани с решение на ЕК. Към момента Комисията е приела такива СДК, които могат да се прилагат в отношенията „администратор от ЕС -> администратор, установен извън ЕС“ и „администратор от ЕС -> обработващ извън ЕС“, като се вземат предвид и насоките на Съда на ЕС в Решението в Schrems II. В тази връзка ЕК е прие и нов проект на Решение за СДК, който в случай че стане окончателен, ще обхване и неуредените до този момент отношения „обработващ от ЕС -> обработващ извън ЕС“ и „обработващ от ЕС -> администратор извън ЕС“.
Стандартните договорни клаузи (или някоя от другите подходящи гаранции) следва да станат част от договорите между лицата, установени в ЕС и тези, установени на Острова, ако до края на посочения период не е налице действащо решение за адекватно ниво на защита по отношение на Обединеното кралство. Включването на СДК следва да бъде предшествано от реална оценка на законодателството на Обединеното кралство, с оглед на възможността му в достатъчна степен да гарантира правата на субектите на данните. Освен това, евентуално бъдещо несъответствие на поведението с минималните изисквания за защита на данните на страната по договора, установена в Кралството, е основание за преустановяване на трансфера на данни, а в случай на невъзможност за привеждане в съответствие – било то дори и на основание въведени законови промени – износителят на данни има право да прекрати трансфера, респективно самите договорни взаимоотношения, които изискват такъв трансфер.