Storbritannien (Storbritannien) gick in i övergångsperioden för att lämna Europeiska unionen (EU) i början av 2020. Brexit kan få flera konsekvenser för både EU och Storbritannien när det gäller dataflödet. I den här artikeln förklarar vi hur Brexit kan påverka den framtida behandlingen av personuppgifter och hur du kan förbereda ditt företag för det.
Lästid: 4 minuter.
Övergångsperioden 2020
När denna artikel skrivs har övergångsperioden för Storbritannien att lämna EU avslutats.
Den främsta orsaken till övergångsperioden är att möjliggöra avtalsförhandlingar mellan Storbritannien och EU. En fråga som behöver ett svar är om Storbritannien kommer att bli ett “tredjeland”. Den 24 december 2020 gjordes en överenskommelse mellan EU och Storbritannien. Avtalet gäller sedan den 1 januari 2020. Detta avtal kommer att gälla i sex månader och påverkar att dataändringar kan göras på samma sätt som inom EU under denna period. Efter denna period är det fortfarande osäkert vilka regler som gäller för överföring av personuppgifter till Storbritannien efter att det särskilda avtalet löper ut.
Under denna övergångsperiod har allt fungerat normalt, vilket innebär att den allmänna dataskyddsförordningen (GDPR) kommer att gälla i Storbritannien. Följaktligen bör företag och organisationer som behandlar personuppgifter fortsätta att följa gdpr:s skyldigheter. Under övergångsperioden kommer dataöverföringar till Storbritannien inte heller att leda till några komplikationer, eftersom EU inte ser Storbritannien som ett tredjeland förrän den 1 januari 2021. Hur Brexit påverkar det framtida dataflödet från EU till Storbritannien och tvärtom återstår att se.
Letar du efter en praktisk guide till DPO-rollen?
Boken Data Protection Officer ger en praktisk guide till DPO-rollen och omfattar de viktigaste aktiviteterna du behöver för att lyckas i rollen. Den omfattar grunderna och processerna för dataskydd, förståelse av risker och relevanta standarder, ramverk och verktyg, med DPO-tips som också är inarbetade i hela boken och fallstudier som ingår för att stödja praktikbaserat lärande. Få en förhandsgranskning eller ett gratis utdrag:e-bok - Data Protection Officer (BCS Guides to It Roles)
pocketbok - Data Protection Officer (BCS Guides to It Roles)
Effekter av Brexit för företag i Storbritannien
Enligt ICO är det osäkert hur dataskyddslandskapet i Storbritannien kommer att ta hand om övergångsperioden. Den brittiska regeringen har fortfarande för avsikt att införliva GDPR i sin dataskyddslag. Om denna avsikt skulle överleva övergångsperioden tyder detta på att förändringarna kommer att vara små för bearbetning inom Förenade kungariket.
Om Storbritannien och EU är oense kan brexit påverka brittiska företag som behandlar personuppgifter om EU-medborgare. Dessa företag kommer att behöva följa alla delar av GDPR, som de är i dag. Art. 3 GDPR anger att alla som behandlar personuppgifter om EU-medborgare behöver följa GDPR. Om Storbritannien ska bli ett tredjeland kan det tvinga företag från Storbritannien att få en EU-representant, efter art. 27 GDPR.
Effekter av Brexit för företag inom EU
För företag inom EU kan du dela upp de viktigaste effekterna av brexit i två områden. De är följande.
Bearbetning av uppgifter om brittiska medborgare
Det första området för hur brexit kan påverka företag inom EU handlar om hur dessa företag kan fortsätta att behandla personuppgifter för medborgare i Storbritannien. Denna fråga är svår att besvara eftersom statusen för den framtida dataskyddsregleringen i Förenade kungariket för närvarande är okänd. Den brittiska regeringens avsikt kan vara att införliva GDPR i sin nationella dataskyddsförordning. För närvarande är det synen på informationskommissionärens kontor (ICO). Läs deras FAQ:s om effekterna av Brexit här.
Enligt ICO kommer det att finnas en “brittisk GDPR” som Storbritannien kommer att kunna fritt granska och uppdatera oberoende av vad som händer inom EU. Om så är fallet skulle effekterna av brexit förmodligen vara minimala för EU-företag som vill behandla uppgifter om brittiska medborgare. Storbritanniens premiärminister Boris Johnson gjorde dock ett skriftligt uttalande om huruvida det behövdes ett framtida samarbete på flera områden.
“Storbritannien kommer i framtiden att utveckla separat och oberoende politik på områden som (men inte begränsat till) […] och dataskydd, upprätthålla höga standarder när vi gör det.’
Vissa har tolkat uttalandet som att det innebär att Förenade kungariket skulle avvika från gdpr.
Överföring av uppgifter till Storbritannien
Den andra frågan är hur brexit påverkar möjligheten att överföra personuppgifter från EU till Storbritannien. Svaret på denna fråga beror på om Storbritannien och EU kommer att träffa en överenskommelse eller inte. Om det inte blir något avtal kommer EU förmodligen att se Storbritannien som ett tredjeland. Ett sådant scenario skulle innebära att företag inom EU måste använda det extra skyddet för sina dataöverföringar till Storbritannien. Dessutom måste alla bestämmelser i kapitel 5 i GDPR tillämpas för att säkerställa skydd för en överföring till ett tredjeland för att vara lagliga.
Om EU gav Storbritannien ett adekvat beslut skulle effekterna av Brexit bli mindre betydande och dataöverföringar skulle kunna fortsätta oavbrutet mellan EU och Storbritannien. Om ett beslut utfärdas kan företag inom EU motivera sina brittiska dataöverföringar genom att använda artikel 45.3 i GDPR, dvs. beslutet om adekvat skyddsnivå.
Eftersom EU-domstolen i sin dom har Storbritannien vs Privacy International slog fast att Storbritanniens övervakningsåtgärder (i detta fall Investigative Powers Act) varken är tillräckligt begränsade eller begränsade till vad som är absolut nödvändigt, vilket krävs enligt EU-lagstiftningen för att betrakta skyddsnivån i ett tredjeland som “väsentligen likvärdig” med den som garanteras inom Europeiska unionen i den mening som avses i artikel 45.1 i GDPR. Mot bakgrund av denna dom förefaller ett beslut om adekvat skyddsnivå inte sannolikt på kort sikt och Förenade kungariket kommer att behandlas som ett tredjeland utan något lämpligt beslut.
Fram till eller till och med om EU-kommissionen utfärdar ett beslut om adekvat skyddsnivå för Storbritannien måste EU-företag förlita sig på andra skyddsåtgärder för sina dataöverföringar till Storbritannien. Också måste varje företag motivera var och en av sina överföringar med en av de skäl som anges i Art. 46 GDPR för att överföringen ska vara förenlig med GDPR. EDPB förklarar i en informationsnot de olika sätt ett företag kan motivera en dataöverföring efter Art. 46 GDPR. De sätt EDPB lyfter är:
- Standardavtalsklausuler (SCC:s) och klausuler om skydd av särskilda ändamål;
- Bindande bolagsregler; Och
- Uppförandekoder och certifieringsmekanismer.
USA – Storbritannien samarbete om allvarlig brottslighet
En annan aspekt som kan ha ytterligare effekter när Storbritannien lämnar EU, är USA:s samarbete om tillgång till elektroniska data i syfte att motverka allvarlig brottslighet. Det bilaterala samarbetet består av ett avtal om dataöverföring mellan de två regeringarna. Detta avtal diskuteras dock inte för närvarande, det uppmärksammades av EU:s lagstiftare. Det som rör EU:s lagstiftare är hur ett framtida avtal om tillräcklighet kan utfärdas mellan EU och Storbritannien om de uppgifter som tillhör EU-medborgare skulle kunna skickas till USA som en del av detta avtal.
EDPD:s ordförande Andrea Jelinek förklarade att avtalet måste behandlas av EU-kommissionen i dess övergripande bedömning av skyddsnivån för personuppgifter i Storbritannien. Särskilt när det gäller kravet på att säkerställa kontinuitet i skyddet vid “vidareöverföringar” från Förenade kungariket till ett annat tredjeland.
Schrems II-fallets inverkan på överföringar av uppgifter från Förenade kungariket
Den 16 juli 2020 meddelade EU-domstolen en dom (det så kallade Schrems II-målet). EU-företag diskuterar fallet främst på grund av de betydande effekter det kommer att få för användningen av amerikanska molntjänster. I Schrems II-målet ogiltigförklarade EG-domstolen den primära mekanismen för transatlantiska dataöverföringar, Privacy Shield. EG-domstolen var dock inte nöjd med att endast upphäva skölden för skydd av privatlivet. EG-domstolen uppgav också att användningen av SCC:s inte alltid ger tillräckliga skyddsåtgärder. Detta beror på att det skydd som mottagits av SCC:s till största delen består av dess avtalsmässiga skyldighet.
Ibland är SCC:s arbete alldeles utmärkt för dataöverföringar till tredjeländer, och ibland säkerställer det inte ett tillräckligt skydd av de delade uppgifterna. Om det tredje landet till exempel tillåter sina myndigheter att inkräkta på de registrerades rättigheter. Därför är det upp till den registeransvarige (eller processorn) att bedöma varje fall utifrån sina meriter.
Effekterna av brexit blir betydande om EU-kommissionen inte utfärdar något beslut om adekvat skydd om Storbritannien. I så fall kommer de flesta EU-företag att använda SCC:s för sina överföringar av uppgifter i Förenade kungariket. För alla företag att anpassa sig till att använda SCC: s i sina kontrakt kommer att innebära en enorm administrativ belastning placeras på företagen. Vad som är värre är att om Storbritannien saknar adekvat skydd för personuppgifter kommer den systematiska användningen av SCC: er också att ifrågasättas.
För nu, framtiden för att använda SCC: s att överföra uppgifter till Storbritannien om det blir ett tredjeland beror på den kommande strategi för dataskyddsmyndigheten i EU. För mer information om hur du fortsätter att använda SCC för dina dataöverföringar, läs vår artikel om kompletterande skydd här.
Europeiska dataskyddsstyrelsen har tagit fram rekommendationer i efterdyningarna av Schrems II om hur man ska bedöma om en överföring utanför EU/EES är laglig eller inte som också kommer att behövas för överföringar till Storbritannien efter övergångsperioden.
Nytt tillfälligt avtal mellan EU och Storbritannien
Ett nytt tillfälligt avtal har ingåtts mellan EU och Storbritannien den 24 december 2020 som påverkar överföringarna till Storbritannien eftersom de inte kommer att ses som ett tredjeland även om de lämnar EU den 1 januari 2021. Detta avtal kommer endast att gälla under en begränsad period, och överföringar kan göras till Storbritannien på samma sätt som de andra länderna inom EU under denna period. Detta undantag upphör att gälla sex månader efter det att handels- och samarbetsavtalet formellt har godkänts i EU och Storbritannien, vilket innebär att detta upphör att gälla senast den 30 juni 2021.
Detta avtal fungerar inte som ett adekvat beslut i enlighet med artikel 45 och fungerar bara som en tillfällig lösning. EU-kommissionen behöver fortfarande separat överväga om Storbritannien ska få ett adekvat beslut som gör det möjligt att överföra personuppgifter till Storbritannien på samma sätt som inom EU.
Sammanfattningsvis: effekterna av Brexit på dataöverföringar
Den 1 januari 2021 blir Storbritannien ett tredjeland som rör EU men eftersom avtalet mellan EU och Storbritannien har ingåtts kommer överföringar till Storbritannien att vara möjliga utan hänsyn till kapitel V i GDPR fram till den 30 juni 2021. Efter denna period kommer vi att se om EU-kommissionen kommer att ge ett beslut om adekvat skyddsnivå till Storbritannien eller om EU-verksamheten måste förlita sig på andra skyddsåtgärder för sina dataöverföringar till Storbritannien. Ett exempel på ett sådant skydd är SCC:s.
Efter fallet Schrems II, där mekanismen för överföring av uppgifter mellan EU och USA ogiltigförklarades, råder det emellertid en viss osäkerhet som utvecklas i framtiden för SCC:s. Dessutom lutar DPA: s i EU mot att hålla personuppgifterna inom EU: s gränser. Det återstår att se hur strikta de olika tillsynsmyndigheterna i EU kommer att vara när det gäller att verkställa domen.
För att veta mer om hur effekterna av Brexit kan påverka ditt företag och hur du förbereder dig för det, kontakta oss på [email protected].