Brexit och GDPR

Brexit och GDPR
Vilka kommer effekterna av Brexit att få när det gäller privatlivet?

Storbritannien gick in i övergångsperioden för att lämna Europeiska unionen (EU) i början av 2020. Brexit kan få flera konsekvenser för både EU och Storbritannien när det gäller dataflödet. I den här artikeln förklarar vi hur Brexit kan påverka den framtida behandlingen av personuppgifter och hur du kan förbereda ditt företag för det.

Lästid: 3 minuter.

Brexit och GDPR – Övergångsperioden 2020

När den här artikeln skrivs har Storbritannien gått in i övergångsperioden för att lämna EU. Denna övergångsperiod kommer att pågå fram till slutet av 2020.

Den främsta orsaken till övergångsperioden är att möjliggöra avtalsförhandlingar mellan Storbritannien och EU. En fråga som behöver ett svar är om Storbritannien kommer att bli ett “tredjeland”. Och om så är ut så, hur hanterar man dataöverföringar mellan Storbritannien och EU? Om EU och Storbritannien inte kan enas om ett kontrakt före den 1 januari 2021 kommer Storbritannien att vara ett tredjeland. Som ett resultat kommer detta att påverka vilka regler som gäller för överföring av personuppgifter till Storbritannien.

Under övergångsperioden kommer allt att fungera som det är idag, vilket innebär att den allmänna dataskyddsförordningen (GDPR) kommer att vara tillämplig i Storbritannien. Följaktligen bör företag och organisationer som behandlar personuppgifter fortsätta att följa gdpr:s skyldigheter. Under övergångsperioden kommer dataöverföringar till Storbritannien inte heller att leda till några komplikationer, eftersom EU inte ser Storbritannien som ett tredjeland förrän den 1 januari 2021. Hur brexit påverkar det framtida dataflödet från EU till Storbritannien och tvärtom återstår fortfarande att se.

Effekter av Brexit och GDPR för företag i Storbritannien

Enligt ICO är det osäkert hur dataskyddslandskapet i Storbritannien kommer att ta hand om övergångsperioden. Den brittiska regeringen har fortfarande för avsikt att införliva GDPR i sin dataskyddslag. Om denna avsikt skulle överleva övergångsperioden tyder detta på att förändringarna kommer att vara små för bearbetning inom Förenade kungariket.

Om Storbritannien och EU är oense kan brexit påverka brittiska företag som behandlar personuppgifter om EU-medborgare. Dessa företag kommer att behöva följa alla delar av GDPR, som de är i dag. Art. 3 GDPR anger att alla som behandlar personuppgifter om EU-medborgare behöver följa GDPR. Om Storbritannien ska bli ett tredjeland kan det tvinga företag från Storbritannien att få en EU-representant, efter art. 27 GDPR.

Effekter av Brexit och GDPR för företag inom EU

För företag inom EU kan du dela upp de viktigaste effekterna av brexit i två områden. De är följande.

Bearbetning av uppgifter om brittiska medborgare

Det första området för hur brexit kan påverka företag inom EU handlar om hur dessa företag kan fortsätta att behandla personuppgifter för medborgare i Storbritannien. Denna fråga är svår att besvara eftersom statusen för den framtida dataskyddsregleringen i Förenade kungariket för närvarande är okänd. Den brittiska regeringens avsikt kan vara att införliva GDPR i sin nationella dataskyddsförordning. För närvarande är det synen på informationskommissionärens kontor (ICO). Läs deras FAQ:s om effekterna av Brexit här.

Enligt ICO kommer det att finnas en “brittisk GDPR” som Storbritannien kommer att kunna fritt granska och uppdatera oberoende av vad som händer inom EU. Om så är fallet skulle effekterna av brexit förmodligen vara minimala för EU-företag som vill behandla uppgifter om brittiska medborgare. Storbritanniens premiärminister Boris Johnson gjorde dock ett skriftligt uttalande om huruvida det behövdes ett framtida samarbete på flera områden.

“Storbritannien kommer i framtiden att utveckla separat och oberoende politik på områden som (men inte begränsat till) […] och dataskydd, upprätthålla höga standarder när vi gör det.’

Vissa har tolkat uttalandet som att det innebär att Förenade kungariket skulle avvika från GDPR.

Brexit och GDPR – överföring av uppgifter till Storbritannien

Den andra frågan är hur Brexit påverkar möjligheten att överföra personuppgifter från EU till Storbritannien. Svaret på denna fråga beror på om Storbritannien och EU kommer att träffa en överenskommelse eller inte. Om det inte blir något avtal kommer EU förmodligen att se Storbritannien som ett tredjeland. Ett sådant scenario skulle innebära att företag inom EU måste använda det ytterligare skydd som anges i Art. 44 GDPR för sina dataöverföringar till Storbritannien. Dessutom måste alla bestämmelser i kapitel 5 i GDPR tillämpas för att säkerställa skydd för en överföring till ett tredjeland för att vara lagliga.

EU-kommissionen kommer dock förmodligen att betrakta Storbritannien som ett land med en adekvat säkerhetsnivå. Följaktligen skulle EU-kommissionen med tiden utfärda ett beslut om adekvat skydd, vilket skulle göra dataöverföringarna lagliga som standard. I så fall skulle effekterna av brexit bli mindre betydande, och dataöverföringar skulle kunna fortsätta oavbrutet mellan EU och Storbritannien. Om ett beslut utfärdas kan företag inom EU motivera sina brittiska dataöverföringar genom att använda Art. 45(3) GDPR, dvs.

Tills EU-kommissionen utfärdar ett beslut om adekvat skyddsfrågor om Storbritannien måste EU-företag förlita sig på andra skyddsåtgärder för sina dataöverföringar till Storbritannien. Också måste varje företag motivera var och en av sina överföringar med en av de skäl som anges i Art. 46 GDPR för att överföringen ska vara förenlig med GDPR. EDPB förklarar i en informationsnot de olika sätt ett företag kan motivera en dataöverföring efter Art. 46 GDPR. De sätt EDPB lyfter är:

  • Standardavtalsklausuler (SCC:s) och klausuler om skydd av särskilda ändamål;
  • Bindande bolagsregler; Och
  • Uppförandekoder och certifieringsmekanismer.

USA – Storbritannien samarbete om allvarlig brottslighet

En annan aspekt som kan ha ytterligare effekter när Storbritannien lämnar EU, är USA:s samarbete om tillgång till elektroniska data i syfte att motverka allvarlig brottslighet. Det bilaterala samarbetet består av ett avtal om dataöverföring mellan de två regeringarna. Detta avtal diskuteras dock inte för närvarande, det uppmärksammades av EU:s lagstiftare. Det som rör EU:s lagstiftare är hur ett framtida avtal om tillräcklighet kan utfärdas mellan EU och Storbritannien om de uppgifter som tillhör EU-medborgare skulle kunna skickas till USA som en del av detta avtal.

EDPD:s ordförande Andrea Jelinek förklarade att avtalet måste behandlas av EU-kommissionen i dess övergripande bedömning av skyddsnivån för personuppgifter i Storbritannien. Särskilt när det gäller kravet på att säkerställa kontinuitet i skyddet vid “vidareöverföringar” från Storbritannien till ett annat tredjeland.

Schrems II-fallets inverkan på överföringar av uppgifter från Storbritannien

EG-domstolen avkunnade den 16 juli 2020 en dom (det s.k. “Schrems II-målet”). EU-företag diskuterar fallet främst på grund av de betydande effekter det kommer att få för användningen av amerikanska molntjänster. I Schrems II-målet ogiltigförklarade EG-domstolen den primära mekanismen för transatlantiska dataöverföringar, Privacy Shield. EG-domstolen var dock inte nöjd med att endast upphäva skölden för skydd av privatlivet. EG-domstolen uppgav också att användningen av SCC:s inte alltid ger tillräckliga skyddsåtgärder. Detta beror på att det skydd som mottagits av SCC:s till största delen består av dess avtalsmässiga skyldighet.

Ibland är SCC:s arbete alldeles utmärkt för dataöverföringar till tredjeländer, och ibland säkerställer det inte ett tillräckligt skydd av de delade uppgifterna. Om det tredje landet till exempel tillåter sina myndigheter att inkräkta på de registrerades rättigheter. Därför är det upp till den registeransvarige (eller processorn) att bedöma varje fall utifrån sina meriter.

Effekterna av brexit blir betydande om EU-kommissionen inte utfärdar något beslut om adekvat skydd om Storbritannien. I så fall kommer de flesta EU-företag att använda SCC:s för sina överföringar av uppgifter i Förenade kungariket. För alla företag att anpassa sig till att använda SCC: s i sina kontrakt kommer att innebära en enorm administrativ belastning placeras på företagen. Vad värre är att om Storbritannien saknar tillräckligt skydd för personuppgifter, kommer den systematiska användningen av SCC: s också ifrågasättas.

För nu, framtiden för att använda SCC: s att överföra uppgifter till Storbritannien om det blir ett tredjeland beror på den kommande strategi för dataskyddsmyndigheten i EU. För mer information om hur du fortsätter att använda SCC:er för dina dataöverföringar, läs vår artikel om kompletterande skydd här. Även som den första av EU:s dataskyddsas publicerade dataskyddsverket i Tyska Baden-Württemberg en obligatorisk guide om internationella dataöverföringar. Den består av både relevant information och en omfattande checklista för vad du måste tänka på.

Sammanfattning

Den 1 januari 2021 kommer Storbritannien med största delen att bli en tredje part som rör EU. I väntan på ett beslut om adekvat skydd från EU-kommissionen kan ta tid, och EU:s företag måste förlita sig på andra skyddsåtgärder för sina dataöverföringar till Storbritannien. Ett exempel på ett sådant skydd är SCC:s.

Efter fallet Schrems II, där mekanismen för överföring av uppgifter mellan EU och USA ogiltigförklarades, råder det emellertid en viss osäkerhet som utvecklas i framtiden för SCC:s. Dessutom lutar sig GDPR av EU mot att hålla personuppgifterna inom EU:s gränser. Det återstår att se hur stränga de olika tillsynsmyndigheterna i EU kommer att vara när det gäller att verkställa domen.

Beroende på åtgärder från EU:s tillsynsmyndigheter, dataskyddsmyndigheter och aktivister kan SCC:s bli sårbara. I värsta fall kan de till och med bli fjädring. Som ett resultat av detta skulle detta vara störande för alla dataflöden mellan EU och Storbritannien.

För att veta mer om hur effekterna av Brexit kan påverka ditt företag och hur du förbereder dig för det, kontakta Sharp Cookie Advisors genom vår email [email protected]

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here