Artikkel

Er virksomheten din klar for brexit 31. januar?

Les om mulige scenarioer etter brexit

31. januar og brexit nærmer seg, men det er fortsatt uklart om Storbritannia forlater EU med eller uten en uttredelsesavtale. Uansett utfall, er det ingen tvil om at brexit vil få konsekvenser for virksomheter som overfører personopplysninger til og fra Storbritannia. Er din virksomhet klar for brexit?

Onsdag 22. januar 2020

Scenario 1: Storbritannia forlater EU med en uttredelsesavtale

Det mest sannsynlige scenarioet per i dag er at Storbritannia forlater EU med en uttredelsesavtale i boks. Johnsons forslag til brexitlov behandles nemlig i disse dager i Overhuset etter at lovforslaget fikk et klart flertall i Underhuset med 358 stemmer mot 234. Etter at brexitloven formelt sett blir lov i Storbritannia, må den også ratifiseres av EU-parlamentet.

En uttredelsesavtale vil innebære at Storbritannia fortsatt anses som et EU-land i en overgangsperiode på inntil to år. Norske virksomheters forhold til Storbritannia vil i denne perioden være det samme som før brexit, og som tidligere vil norske virksomheter fritt kunne overføre personopplysninger til Storbritannia uten et særskilt overføringsgrunnlag.

Hva som skjer etter at overgangsperioden har utløpt, fremstår imidlertid som usikkert. Planen er at Storbritannia og EU skal bli enige om en handelsavtale innen utgangen av desember 2020. Hva som blir innholdet i denne avtalen, og hvordan dette innholdet eventuelt påvirker britiske virksomheter med et forhold til EU, er ikke avklart.

Norske virksomheter som samarbeider mye med virksomheter i Storbritannia bør derfor være forberedt på at det kan skje endringer som kan få konsekvenser for deres overføring av personopplysninger til Storbritannia etter utløpet av denne perioden. Et ikke utenkelig utfall er at Storbritannia, etter overgangsperioden, blir ansett som et tredjeland, noe som betyr at overføring av personopplysninger må baseres på et overføringsgrunnlag etter personvernforordningens kapittel V.

Kontakt våre brexit-spesialister

Arbeidsgivere bør nå ha god oversikt over arbeidstakere i UK og Norge, for å kunne håndtere rask omstilling når vilkårene for brexit er avklart.

open in new window Finn ut mer her
Hvilke overføringsgrunnlag finnes?

Personvernforordningen kapittel V oppstiller flere ulike overføringsgrunnlag. Det beste i forbindelse med brexit er om Storbritannia vil anses å ha et «tilstrekkelig beskyttelsesnivå». Dette innebærer at Europakommisjonen, etter en nærmere vurdering, kommer frem til at Storbritannia har et tilstrekkelig nivå for vern av personopplysninger. Overføringer til et land som er godkjent av Europakommisjonen likestilles med en overføring til et EU/EØS-land. Virksomheter kan dermed overføre personopplysninger til Storbritannia uten at det er nødvendig å innhente godkjenning, eller å varsle Datatilsynet. Det gjenstår å se om Europakommisjonen anerkjenner Storbritannia som et godkjent tredjeland. Det anses imidlertid sannsynlig at Storbritannia i løpet av en overgangsperiode vil oppnå en slik status, fordi de per i dag følger GDPR og i løpet av overgangsperioden har mulighet til å gjøre de nødvendige tilpasninger av dette regelverket.

Dersom Storbritannia ikke får den nødvendige godkjenningen av Europakommisjonen, kan en behandlingsansvarlig eller databehandler kun overføre personopplysninger til Storbritannia dersom det er gitt såkalte «nødvendige garantier». Dette kan gjennomføres ved anvendelse av EUs standardavtaler. Europakommisjonen har allerede utarbeidet to typer standardkontrakter for overføring av personopplysninger mellom to behandlingsansvarlige og for overføring fra en behandlingsansvarlig til databehandler. Hvis man som behandlingsansvarlig i Norge bruker disse kontraktene i uendret form, trenger man ikke søke om godkjenning fra Datatilsynet.

Man vil følgelig ha et grunnlag for overføring av personopplysninger til Storbritannia. Det er derimot ikke utarbeidet en lignende standardkontrakt for databehandlere som overfører personopplysninger til underleverandører i tredjeland. Det betyr at overføring fra en databehandler i Norge til en underdatabehandler i Storbritannia som utgangspunkt må skje på et av de andre overføringsgrunnlagene i personvernforordningen. Dersom virksomheter ønsker å gjøre endringer i standardavtalene kreves godkjenning fra Datatilsynet.

Dersom virksomheten ikke ønsker å anvende standardavtalene utarbeidet av Europakommisjonen, kan virksomheten utforme avtalevilkår selv. Disse avtalevilkårene må imidlertid få godkjennelse av Datatilsynet, samt av Personvernrådet (EDPB). For å sikre lovlig overføring av personopplysninger, anses det derfor for mest hensiktsmessig at virksomheten anvender de utarbeidede standardavtalene.

Brexit og trygd - hva nå?

Den uavklarte situasjonen skaper stor usikkerhet for både personer og virksomheter som opererer mellom Norge og UK.

Ler mer her

Scenario 2: Storbritannia forlater EU uten en uttredelsesavtale, "hard" brexit

Det andre scenarioet er at Storbritannia forlater EU uten en uttredelsesavtale, såkalt «hard» brexit. Dette betyr at Storbritannia fra og med kl. 00.00 den 31. januar ikke vil være medlem av EU. Dersom dette blir tilfellet må virksomheter med tilknytning til Storbritannia være oppmerksom på at Storbritannia forlater EU uten en uttredelsesavtale og anses som et såkalt «tredjeland» etter personvernforordningen kapittel V allerede fra 31. januar 2020. Er virksomheten din klar for «hard» brexit?

Etter personvernforordningen følger, som nevnt, strenge regler for overføring av personopplysninger til et tredjeland. Det oppstilles et krav om «overføringsgrunnlag». Virksomheter må ha et overføringsgrunnlag for å kunne overføre personopplysninger til Storbritannia.

Årsaken til at det kreves et overføringsgrunnlag når personopplysningene skal overføres til Storbritannia som et tredjeland, er for å sikre at personopplysninger behandles på en forsvarlig måte også utenfor EU. Brexit vil med andre ord gjøre det mer utfordrende å overføre personopplysninger til samarbeidspartnere eller konserndeltakere. Dette vil for eksempel gjelde virksomheter som har outsourcet sin kundebehandling eller bruker skyleverandører etablert i Storbritannia.

I motsetning til situasjonen nevnt ovenfor vil Storbritannia ved «hard» brexit neppe ha mulighet til å gjøre de nødvendige endringer i personvernregelverket og Kommisjonen vil heller ikke få gjennomført en vurdering av deres beskyttelsesnivå.

Er virksomheten din klar for brexit?

Virksomheten din bør være forberedt på at brexit kan medføre endringer i overføringsadgangen til Storbritannia. Det er derfor hensiktsmessig at virksomheten kartlegger sitt forhold til Storbritannia. I tillegg bør virksomheten din undersøke, og sette seg inn i, de mest aktuelle overføringsgrunnlagene slik at man er forberedt på at «hard» brexit kan komme brått på. Avslutningsvis kan det nevnes at virksomheten din bør implementere, og gjøre seg kjent med, de ulike standardavtalene. Dette kan gjøres før en eventuell «hard» brexit.

Var denne siden nyttig?