Personopplysninger kan overføres til Storbritannia som før

Publisert 07. januar 2021. 

En løsning i siste time

Storbritannias uttreden av EU har skapt usikkerhet til om norske virksomheter kan fortsette å overføre personopplysninger til Storbritannia slik som tidligere. En overføring av personopplysninger til land utenfor EU/EØS (tredjeland) krever nemlig et særskilt overføringsgrunnlag for å være lovlig. Det betyr at overføring av personopplysninger til Storbritannia fra og med 1. januar 2021 i utgangspunktet ikke var tillatt uten at den enkelte virksomheten hadde iverksatt tilstrekkelige tiltak i henhold til GDPR kapittel V.

Overføring av personopplysninger til tredjeland er i lys av det siste årets praksis blitt mer og mer krevende og stiller store krav til virksomheten som er ansvarlig for behandlingen. Det er eksempelvis innført strengere krav til undersøkelser og tiltak som den enkelte virksomhet må gjennomføre i forkant av en overføring. I «Schrems II-saken» fra sommeren 2020 oppstilte EU-domstolen et krav til at virksomheter som skal overføre personopplysninger til tredjeland ikke bare må sikre et gyldig overføringsgrunnlag, men også må gjennomføre undersøkelser av om beskyttelsesnivået som overføringsgrunnlaget legger opp til vil realiseres i praksis. Hva som vil være tilstrekkelig har vært hyppig debattert høsten 2020, og forslag til nye retningslinjer er fremmet av det europeiske personvernrådet, les mer her.

Spørsmålet var lenge om de samme strenge, krevende kravene også ville gjelde for overføring til Storbritannia. Kun noen dager før den gjeldende ordningen utløp (fastsatt i uttredelsesavtalen), kom det på plass en ny midlertidig forskrift som sikrer at norske virksomheten fortsatt kan overføre personopplysninger til Storbritannia som tidligere. Forskriften er hjemlet i personopplysningsloven § 13, og er vedtatt på bakgrunn av utkast til handels- og samarbeidsavtale mellom unionen og Storbritannia. Forskriften stadfester at Storbritannia ikke skal regnes som et tredjeland etter personopplysningsloven og er gjeldende fra 1. januar 2021. Dermed kan man fritt overføre personopplysninger til Storbritannia på lik linje som til andre land i EU/EØS.

Håp om en adekvansbeslutning

Forskriften er imidlertid midlertidig. Unntaket for personvernforordningens strenge krav til overføring til tredjeland utløper senest seks måneder etter at handels- og samarbeidsavtalen har blitt formelt godkjent i EU og Storbritannia. Det betyr at usikkerheten rundt overføring av personopplysninger til Storbritannia ikke er fjernet med en endelig løsning.

Innen den midlertidige ordningen utløper, kan vi håpe på at EU-kommisjonen finner at den britiske reguleringen av personopplysninger og tilstøtende regelverk gir tilstrekkelig beskyttelse til at Storbritannia vil få en såkalt «adekvansbeslutning». Dersom et land har en «adekvansbeslutning» fra EU-kommisjonen, er det ikke nødvendig med ytterligere tiltak for å skaffe nødvendige garantier, slik man må for overføring/utlevering til andre tredjeland. En adekvansbeslutning har med andre ord den betydning at overføring kan finne sted på lik linje som til andre EU/EØS-land. På nåværende tidspunkt er det kun 12 tredjeland som anses å ha et tilstrekkelig beskyttelsesnivå til å få en adekvansbeslutning, se oversikt her.

Hva bør virksomheten din forberede seg på?

I og med at det fortsatt er usikkert knyttet til hva som vil skje om 6 måneder, bør virksomheter fortsatt være forberedt på at brexit kan medføre endringer i overføringsadgangen. Det er derfor viktig at virksomheten har oversikt over hvilke avtaleforhold og behandlingsaktiviteter som kan bli berørt. Videre bør virksomheten implementere de ulike standardavtalene for å ta forberedende steg for å sikre en lovlig overføringsadgang. Standardavtalene vil i seg selv ikke være tilstrekkelig for å sikre lovlig overføring til tredjeland, men det vil være et viktig steg på veien for å sikre lovlig overføring av personopplysninger.

Dersom du har noen spørsmål er det bare å ta kontakt med oss.