Brexit og personopplysninger

Storbritannias forhold til EU er mer usikkert enn noen gang – blir det hard Brexit, blir de værende eller finner britene likevel en mellomløsning basert på den fremforhandlede avtalen som nå er forkastet av Parlamentet. Ettersom risikoen for en hard Brexit nå er større enn tidligere, bør alle norske virksomheter – om de ikke allerede har gjort det – kartlegge sin eksponering mot Storbritannia og forberede seg på ulike utfall. Dette gjelder også dersom man overfører personopplysninger til Storbritannia.

flag-2608475_960_720

Brexit blir ikke noe av eller avtale med EU er på plass før 29. mars 2019

Storbritannia kan ensidig stoppe Brexit og bli værende i EU. I så fall vil alt være som i dag og man trenger ikke gjøre noe.

Det samme gjelder dersom en avtale med EU er på plass før 29. mars 2019. Avtalen gjelder i hvert fall frem til utløpet av 2020, den såkalte overgangsperioden. Etter dette vil den endelige skilsmisseavtalen mellom britene og EU avgjøre hva som blir situasjonen, men målet er at Storbritannia skal bli et «adekvat tredjeland» med tilstrekkelig beskyttelsesnivå. I så fall kan overføringer av personopplysninger til Storbritannia fortsette med grunnlag i dette.

Ingen avtale med EU er på plass før 29. mars 2019

Verre er det om britene forlater EU uten noen avtale før 29. mars 2019. I så fall er Storbritannia et såkalt tredjeland og overføring av personopplysninger kun kan skje på basis av et overføringsgrunnlag i kapittel V i personvernforordningen.

For overføringer mellom behandlingsansvarlige vil typisk EUs standardkontrakter (Standard Contractual Clauses) for overføring fra en behandlingsansvarlig (i Norge) til behandlingsansvarlig i Storbritannia og vice versa, være det aktuelle grunnlag.

For databehandlere etablert i Norge som overfører personopplysninger til Storbritannia, foreligger det derimot ikke standard personvernbestemmelser. Overføring må i slike tilfeller skje på et annet grunnlag. De fleste av disse krever godkjenning fra Datatilsynet eller Personvernrådet, og Datatilsynet har gitt uttrykk for at det må påregnes lang saksbehandlingstid.

Praktiske råd

Alle norske virksomheter bør derfor:

-          Kartlegge om man overfører personopplysninger til Storbritannia

-          Ta stilling til i hvilken egenskap man gjør dette (som behandlingsansvarlig eller databehandler)

-          Avgjøre hvilket overføringsgrunnlag som er aktuelt for virksomheten dersom det blir hard Brexit og iverksette nødvendige tiltak for at man kan fortsette overføringen basert på dette