Gå til Hovedinnhold Gå til Navigasjon
brexit london
Foto: David Dibert/Unsplash

Brexit kan få konsekvenser for virksomheter som overfører personopplysninger til og fra Storbritannia

Det er fullt kaos i Storbritannia, og foreløpig ikke avklart om, og eventuelt på hvilken måte, Brexit vil gjennomføres. Dette kan medføre utfordringer for norske virksomheter som overfører personopplysninger til Storbritannia, og det kan være nødvendig å gjøre noen forberedende grep i den forbindelse allerede nå.
Industri, handel og finans Arbeidsrett/personvern Brexit

Brexit

Storbritannias statsminister Theresa May uttalte før nyttår at det finnes tre alternativer i Brexit-forhandlingene: at avtalen hun har fremforhandlet med EU blir vedtatt, at det ikke blir inngått noen avtale eller at Brexit ikke skjer. Underhuset i det britiske parlamentet stemte tirsdag 15. januar mot avtalen, og det er nå knyttet stor usikkerhet til om det kommer på plass en avtale før Storbritannia etter planen skal gå ut av EU den 29. mars i år.

Dette kan få konsekvenser for norske bedrifter som overfører personopplysninger til og fra Storbritannia. Blant annet har Datatilsynet nylig uttalt seg om hvilke følger Brexit kan få for virksomheter som overfører personopplysninger til og fra Storbritannia, og dette er informasjon som er viktig for mange norske virksomheter.

Bakgrunnen er at EUs personvernforordning kun gjelder for EU/EØS-området, som Storbritannia foreløpig er en del av. Dersom det blir inngått en avtale mellom Storbritannia og EU som regulerer utmeldingen vil Storbritannia i en overgangsperiode, som er ment å vare fra 29. mars 2019 til 31. desember 2020, behandles som om de var et EU/EØS-medlem. Storbritannia vil da være underlagt personvernforordningens regler, og personopplysninger kan overføres til Storbritannia som før.

Skulle Brexit derimot gjennomføres uten at en slik avtale er kommet på plass, blir situasjonen mer komplisert. Dersom Brexit gjennomføres uten avtale vil ikke Storbritannia lenger være underlagt personvernforordningens regler, og Storbritannia vil etter forordningens regler regnes som et såkalt «tredjeland». For at personopplysninger skal kunne overføres fra et EU/EØS-land til Storbritannia må det da foreligge et særskilt grunnlag for overføring, i henhold til forordningens kap. V.

Personvernforordningen åpner blant annet for at personopplysninger kan overføres til tredjeland som Europakommisjonen har fastslått at sikrer et tilstrekkelig beskyttelsesnivå, uten at det er behov for godkjenning eller varsling til Datatilsynet. Selv om det er gode muligheter for at Kommisjonen vil fastslå at Storbritannia sikrer et tilstrekkelig beskyttelsesnivå, kan det ta noe tid før en slik beslutning kommer på plass. Det kan derfor bli en overgangsperiode hvor virksomheter selv må sikre at et av forordningens øvrige overføringsgrunnlag er til stede.

Dersom det verken foreligger avtale eller beslutning om tilstrekkelig beskyttelsesnivå, kan personopplysninger kun overføres til Storbritannia dersom behandlingsansvarlig eller databehandler i EU/EØS blant annet «har gitt nødvendige garantier» iht. forordningers art. 46.

Dette vil få ulike konsekvenser, avhengig av om man er behandlingsansvarlig eller databehandler.

Grunnlag for overføring av opplysninger

En behandlingsansvarlig eller databehandler som skal overføre personopplysninger til et tredjeland kan blant annet gi nødvendige garantier, uten krav om særlig godkjenning fra en tilsynsmyndighet for hver enkelt overføring, ved hjelp av:

  • Bindende virksomhetsregler i samsvar med forordningens artikkel 47.
  • Godkjente atferdsnormer i henhold til forordningens artikkel 40 og 46.
  • Godkjent sertifiseringsmekanisme i henhold til artikkel 42 og 46.
  • Standard personvernbestemmelser vedtatt av Europakommisjonen i samsvar med forordningens artikkel 46 og 93 nr. 2 («Standard Contractual Clauses»).

De tre første alternativene krever imidlertid en forhåndsgodkjenning fra en tilsynsmyndighet, som i Norge er Datatilsynet, før de kan utgjøre grunnlag for overføring. Dersom virksomheten ikke allerede er omfattet av et av disse grunnlagene, vil det å benytte disse alternativene dermed innebære en relativt omfattende prosess.

De standardiserte personvernbestemmelsene som er vedtatt av Europakommisjonen (jf. siste alternativ over) krever ikke slik godkjenning, og vil for mange virksomheter være særlig praktisk. Her er det tilstrekkelig at standardavtalen fra Europakommisjonen inngås mellom partene. På nåværende tidspunkt er det imidlertid kun utarbeidet standardkontrakter for overføring fra behandlingsansvarlig:

Ved å bruke disse standardkontraktene kan en behandlingsansvarlig i Norge gi tilstrekkelig garanti for overføring av personopplysninger til tredjeland, uten at det er nødvendig å søke om godkjenning fra Datatilsynet. Behandlingsansvarlige i Norge kan altså benytte dette grunnlaget for overføring av personopplysninger til Storbritannia, dersom Storbritannia blir å regne som et tredjeland.

Mer komplisert situasjon for databehandlere som overfører personopplysninger til Storbritannia

På nåværende tidspunkt finnes det imidlertid ikke standardiserte personvernbestemmelser for databehandlere som overfører personopplysninger til tredjeland. Dette vil komplisere situasjonen for databehandlere som skal overføre personopplysninger til Storbritannia, dersom Storbritannia blir et tredjeland.

Overføring må i så fall skje på et av de andre grunnlagene i forordningens kap. V (herunder etter et av unntakene i forordningens artikkel 49). For de fleste vil det nok da være mest aktuelt å utarbeide en egen avtale med den som skal motta personopplysningene i Storbritannia. I likhet med de fleste andre overføringsgrunnlagene krever imidlertid dette først forhandling av en slik avtale, og deretter godkjenning fra en tilsynsmyndighet. Det er allerede varslet fra Datatilsynet at det her må påregnes lang saksbehandlingstid.

Planlagt dato for Storbritannias exit fra EU nærmer seg med stormskritt. Virksomheter som i egenskap av databehandler må påregne å skulle overføre personopplysninger til Storbritannia etter exit-tidspunktet, bør derfor være forberedt på alle muligheter.

 

Kluge har flere eksperter på området. Ta gjerne kontakt med oss ved behov for bistand i forbindelse med dette arbeidet.

Tips:

Brexit aktualiserer også flere andre spørsmål og problemstillinger for norske virksomheter. Utenriksdepartementet har utarbeidet en liste med spørsmål og svar, og vi anbefaler å ta en titt på denne.