Så här hanterar din organisation Storbritanniens utträde

Tobias Granlund 4 mars, 2020

Introduktion

Vad gör vi för att möta utträdet?

Efter en lång process kom dagen vi bävat inför, Storbritanniens utträde ur EU-gemenskapen. Denna internationella omställning kommer medföra omfattande förändringar för EU:s relation till den tidigare viktiga bundsförvanten, men med minnet av GDPR:s inträde fortfarande färskt i minnet, så infinner sig frågan; ” hur påverkar Brexits vårt dataskydd?”.

Oklart läge

Vad sker nu?

I samband med att Storbritannien lämnar EU, så har ett utträdesavtal slutits mellan dem och EU, vilket medför en övergångsperiod till slutet av 2020. Under detta år är därav avsikten att besluta om en ny överenskommelse reglerande dataöverföring (eventuellt likt det som nu föreligger med USA, Privacy Shield). Under denna övergångsperiod kommer fortfarande GDPR vara gällande i Storbritannien.

Vad sker efter övergångsperioden?
Framtiden är fortfarande oviss, så allt beror till stor del på resultatet av pågående och kommande förhandlingar. Storbritanniens tillsynsmyndighet, Information Commissioner’s Office (ICO), har konstaterat att deras utgångsläge är att succesivt implementera GDPR i brittisk lag, men faktum kvarstår att det fortfarande handlar om nu två olika lagar inom separata jurisdiktioner. Detta innebär att även om ICO menar på att de två lagarna skulle vara kompatibla, så är det fortfarande EU-kommissionen som har det sista ordet. Detta väcker frågan vad kan företag inom EU förvänta sig om ett positivt avtal uteblir?

Problemet

Ett avtalslöst Brexit

GDPR har möjliggjort det fria flödet av personuppgifter inom det europeiska ekonomiska samarbetet (EES), vilket gett organisationer den nödvändiga friheten att driva alla aspekter av sin affärsverksamhet. En ”avtalslös” Brexit kommer dock innebära en störning i detta flöde av personuppgifter och lägga till ytterligare arbetsbelastning och påtryckningar för företag som delar personuppgifter mellan jurisdiktionerna.
Varje organisation som behandlar personuppgifter, överför, eller har delar av sin verksamhet i Storbritannien kommer bli tvungna att vidta åtgärder för att säkerställa efterlevnaden av GDPR. ICO har i ett uttalande förkunnat att den brittiska regeringen avser att möjliggöra dataflöde från Storbritannien till EES utan några ytterligare åtgärder, men överföringar från EES till Storbritannien kommer att påverkas.

Lösningen

Hur ska överföring bli möjlig?

För att möjliggöra överföring mellan EU och Storbritannien, så är följande åtgärder applicerbara.

Adekvansbeslut

Europa kommissionen har befogenhet att avgöra om ett land utanför EES erbjuder en tillräckligt hög nivå för dataskydd, antingen genom sin nationella lagstiftning eller internationella åtaganden som har ingåtts.

Ett land utanför EES måste säkerställa en adekvat skyddsnivå och det kan innebära en lång process. Avseende Storbritanniens situation rörande denna process, har den europeiska datatillsynsman, Wojciech Wiewiórowski sagt att Storbritannien troligtvis måste vänta ett bra tag innan förhandlingarna. I nuläget är Storbritannien på trettonde plats av ansökande länder.

Bindande företagsregler (BCR)

BCR är interna regler för dataöverföring inom multinationella företag. De tillåter multinationella företag att överföra personuppgifter internationellt inom samma företagsgrupp till länder som inte ger en tillräcklig skyddsnivå. Det finns en lång godkännandeprocess involverad i upprättandet av BCR, inklusive en översyn av BCR: er av relevanta Dataskyddsmyndigheter

Standard avtalsklausuler

Europeiska kommissionen kan besluta att standardkontraktsklausuler erbjuder tillräckliga skyddsåtgärder för att personuppgifter ska överföras internationellt. Organisationer har just genomgått en lång process med kontraktsändringar och ändringar som krävs av GDPR.

När Storbritannien lämnar EU som ett resultat av Brexit kommer ytterligare granskning och ändring av alla databehandlings- / överföringsavtal mellan EES och Storbritannien att krävas. Detta medför inte bara en administrativ börda utan har också ekonomiska konsekvenser.

Hur ska företag förbereda sig?

  • Att hålla uppdaterade register över personuppgiftsbehandling är kärnan i efterlevnaden av GDPR. Använd registerförteckningen för att skapa en komplett lista över alla dataflöden till och från Storbritannien.
  • Uppdatera due diligence-procedurer för att möjliggöra personuppgiftsbiträden belägna i Storbritannien
  • Granska och uppdatera alla befintliga personuppgiftsbiträdesavtal, för att säkerställa att lämpliga klausuler finns på plats.
  • Överväg användningen av bindande företagsregler för att möjliggöra fortsatt överföring av personuppgifter till verksamhetsdelar baserade i Storbritannien
  • Utvärdera vilka överföringsmekanismer som för närvarande används för att skydda personuppgifter och eventuella ytterligare säkerhetsåtgärder som krävs
Tobias Granlund
Senaste inläggen av Tobias Granlund