brexit

Artikkel

Brexit er et faktum - hva da med GDPR?

Hva betyr myk brexit for overføring av personopplysninger til Storbritannia? 

Storbritannia forlot EU den 1. februar 2020 med en uttredelsesavtale i boks. Dette innebærer at vi står overfor såkalt «myk brexit».

28. februar 2020

Selv om en uttredelsesavtale er på plass, er det flere forhold virksomheten din bør være klar over. For hva skjer etter at overgangsperioden er over?

 

Hva uttredelsesavtalen innebærer 

Uttredelsesavtalen innebærer at Storbritannia fortsatt anses som et EU-land i en overgangsperiode ut 2020. Norske virksomheters forhold til Storbritannia vil i denne perioden være det samme som før brexit, og som tidligere vil norske virksomheter fritt kunne overføre personopplysninger til Storbritannia uten et særskilt overføringsgrunnlag. Som en konsekvens av at Storbritannia forlater EU, har Norge også inngått en avtale med Storbritannia som sikrer opparbeidede rettigheter for norske og britiske borgere. Avtalen medfører at det ikke skjer noen endringer i forholdet mellom Norge og Storbritannia før overgangsperioden er over.

Hva som skjer etter at overgangsperioden har utløpt, fremstår imidlertid som usikkert. Planen er at Storbritannia og EU skal bli enige om en handelsavtale innen utgangen av desember 2020. Hva som blir innholdet i denne avtalen, og hvordan dette innholdet eventuelt påvirker britiske virksomheter med et forhold til EU, er ikke avklart.

Norske virksomheter som samarbeider mye med virksomheter i Storbritannia bør derfor være forberedt på at det kan skje endringer som kan få konsekvenser for deres overføring av personopplysninger til Storbritannia etter utløpet av denne perioden. Et ikke utenkelig utfall er at Storbritannia, etter overgangsperioden, blir ansett som et tredjeland etter personvernforordningen (GDPR), noe som betyr at overføring av personopplysninger må baseres på et overføringsgrunnlag etter GDPR kapittel V.

 

Hvilke overføringsgrunnlag finnes?

GDPR kapittel V oppstiller flere ulike overføringsgrunnlag. Det beste i forbindelse med brexit er om Storbritannia vil anses å ha et «tilstrekkelig beskyttelsesnivå». Dette innebærer at Europakommisjonen, etter en nærmere vurdering, kommer frem til at Storbritannia har et tilstrekkelig nivå for vern av personopplysninger, altså godt nok nivå for å sikre personvernet. Overføringer til et land som er godkjent av Europakommisjonen likestilles med en overføring til et EU/EØS-land. Virksomheter kan dermed overføre personopplysninger til Storbritannia uten at det er nødvendig å innhente godkjenning, eller å varsle Datatilsynet. Det gjenstår å se om Europakommisjonen anerkjenner Storbritannia som et godkjent tredjeland. Det anses imidlertid sannsynlig at Storbritannia i løpet av en overgangsperiode vil oppnå en slik status, fordi de per i dag følger GDPR og i løpet av overgangsperioden har mulighet til å gjøre de nødvendige tilpasninger av dette regelverket.

Dersom Storbritannia ikke får den nødvendige godkjenningen av Europakommisjonen, kan en behandlingsansvarlig eller databehandler kun overføre personopplysninger til Storbritannia dersom det er gitt såkalte «nødvendige garantier». Dette kan gjennomføres ved anvendelse av EUs standardavtaler. Europakommisjonen har allerede utarbeidet to typer standardkontrakter for overføring av personopplysninger mellom to behandlingsansvarlige og for overføring fra en behandlingsansvarlig til databehandler. Hvis man som behandlingsansvarlig i Norge bruker disse kontraktene i uendret form, trenger man ikke søke om godkjenning fra Datatilsynet.

Man vil følgelig ha et grunnlag for overføring av personopplysninger til Storbritannia. Det er derimot ikke utarbeidet en lignende standardkontrakt for databehandlere som overfører personopplysninger til underleverandører i tredjeland. Det betyr at overføring fra en databehandler i Norge til en underdatabehandler i Storbritannia som utgangspunkt må skje på et av de andre overføringsgrunnlagene i personvernforordningen. Dersom virksomheter ønsker å gjøre endringer i standardavtalene kreves godkjenning fra Datatilsynet.

Dersom virksomheten ikke ønsker å anvende standardavtalene utarbeidet av Europakommisjonen, kan virksomheten utforme avtalevilkår selv. Disse avtalevilkårene må imidlertid få godkjennelse av Datatilsynet, samt av Personvernrådet (EDPB). For å sikre lovlig overføring av personopplysninger, anses det derfor for mest hensiktsmessig at virksomheten anvender de utarbeidede standardavtalene.

 

Hva bør virksomheten din forberede seg på?

Selv om en uttredelsesavtale er på plass er det flere grep virksomheter bør gjøre. Tiden går fort, og plutselig nærmer vi oss avslutningen på 2020. I og med at det fortsatt er usikkert hva som skjer etter utgangen av 2020, bør virksomheten din fortsatt være forberedt på at brexit kan medføre endringer i overføringsadgangen til Storbritannia etter overgangsperioden. Det er derfor hensiktsmessig at virksomheten kartlegger sitt forhold til Storbritannia. I tillegg bør virksomheten din undersøke, og sette seg inn i, de mest aktuelle overføringsgrunnlagene slik at man er forberedt på at overføring av personopplysninger etter 2020 kan kreve et særskilt overføringsgrunnlag. Videre kan det nevnes at virksomheten din bør implementere, og gjøre seg kjent med, de ulike standardavtalene slik at eventuelle endringer i overføringsadgangen ikke kommer som et stort sjokk.

Brexit

Vi har samlet opp alt du trenger å vite om brexit

Les mer her
Var denne siden nyttig?