SecurityWorldMarket

27.12.2018

Brexit og overføring av personopplysninger

Det er for tiden stor usikkerhet rundt spørsmålet om Brexit og hvordan det vil skje. Dette vil kunne få følger for virksomheter som overfører personopplysninger til og fra Storbritannia.

Datatilsynet skisserer her de forskjellige aktuelle scenarioene og hva du kan gjøre for å forberede virksomheten din.

1. Avtale med EU er på plass før 29. mars 2019

Dersom det er en avtale på plass før 29. mars 2019, vil Norges forhold til Storbritannia være som det er i dag frem til slutten av overgangsperioden (31. desember 2020).

Det vil si at overføring av personopplysninger til Storbritannia blir det samme som overføring av personopplysninger til resten av EØS eller inn i Norge. Du trenger da ikke å foreta deg noe.

Per i dag legger den politiske avtalen opp til et løp hvor Storbritannia før utgangen av overgangsperioden vil bli et «adekvat tredjeland». Det vil si at EU-Kommisjonen vil bestrebe seg på å få på plass en beslutning om tilstrekkelig beskyttelsesnivå. Overføringer av personopplysninger til Storbritannia vil da skje på basis av denne beslutningen. Du trenger i så fall heller ikke å foreta deg noe.

2. Ingen avtale med EU - Brexit tilbaketrukket

EU-domstolen har mandag 10. desember bekreftet at Storbritannia ensidig kan stoppe prosessen med å trekke seg ut av EU. Dette betyr altså at det britiske parlamentet kan stoppe Brexit. I så fall vil alt være som det er i dag.

3. Ingen avtale med EU er på plass før 29. mars 2019

Dersom det ikke er på plass en avtale mellom EU og Storbritannia før 29. mars 2019, og Storbritannia ikke har trukket tilbake sin anmodning om å forlate EU, vil Storbritannia ikke lenger være en medlemsstat i EU. Det vil i stedet regnes som et såkalt tredjeland.

Dette betyr at overføring av personopplysninger kun kan skje på basis av et overføringsgrunnlag i kapittel V i personvernforordningen.

Les om overføring av opplysninger til utlandet

Det overføringsgrunnlaget som blir mest aktuelt for de fleste vil være standard personvernbestemmelser utarbeidet av EU Kommisjonen (Standard Contractual Clauses). Det finnes to typer standardkontrakter: En for overføring fra en behandlingsansvarlig (i Norge) til behandlingsansvarlig i Storbritannia og en for overføring fra en behandlingsansvarlig (i Norge) til en databehandler i Storbritannia.

Dersom du bruker disse kontraktene som overføringsgrunnlag i uendret form, er det ikke nødvendig å søke om godkjenning fra Datatilsynet.

For databehandlere etablert i Norge som overfører personopplysninger til Storbritannia, er det per i dag ikke utarbeidet standard personvernbestemmelser. Dette innebærer at overføring må skje på et av de andre grunnlagene i Kapittel V (for eks. bindende konsernregler, administrative ordninger, eller et av unntakene i personvernforordningen artikkel 49).

De fleste overføringsgrunnlagene krever godkjenning fra Datatilsynet, og i noen tilfeller også Personvernrådet (European Data Protection Board). Det må påregnes lang saksbehandlingstid, så dersom dette er aktuelt, er det en god ide å begynne tidlig med forberedelsene.

Oppsummering:

Dersom du overfører personopplysninger til en virksomhet i Storbritannia må du:

  • Kartlegge forholdet mellom din virksomhet og den du overføre opplysninger til. (Er virksomheten i Storbritannia en databehandler eller behandlingsansvarlig? Er dere en del av det samme konsernet?)
  • Undersøk hvilket overføringsgrunnlag som er aktuell for dere med hensyn til utfallet av Brexit, og sett i gang forberedelser i tilfelle det ikke blir noen avtale før 29. mars 2019.

Leverandører
Tilbake til toppen