Brexit och GDPR – Vad händer framöver?

Storbritannien lämnade EU den 31 januari 2020 och det råder nu en övergångsperiod fram till den 31 december 2020. Övergångsperioden kan förlängas med upp till två år. Perioden ska användas för att förhandla ett framtida avtal som ska gälla mellan Storbritannien och EU inom en mängd olika områden, bland annat dataskydd. Den brittiska tillsynsmyndigheten ICO har gått ut med att GDPR kommer att tillämpas i sin helhet under övergångsperioden.

Nedan har vi skrivit om några av de olika vägval som finns framöver och om hur svenska företag kan vidta åtgärder för att vara förberedda.

Vad händer efter den 31 december 2020?

Hur regelverket kommer att se ut efter övergångsperiodens slut är ännu inte fastställt. Om ett avtal skulle utebli eller om förhandlingarna inte kan slutföras hamnar vi ett utgångsläge som motsvarar en no-deal brexit (se vidare nedan). Enligt ICO kommer GDPR att inkorporeras som brittisk lagstiftning. Vissa delar av lagstiftningen kan dock komma att kräva anpassningar med anledning av att Storbritannien har lämnat EU. Frågor som behöver ses över är bland annat brittiska företagares behov av att utse representanter i EU och reglering av överföring av personuppgifter mellan EU och Storbritannien. För svenska företag är det framförallt relevant att fokusera på överföring av personuppgifter till Storbritannien.

Vad gäller vid en no-deal brexit?

ICO har publicerat en vägledning för det fall att brexit-förhandlingarna inte kommer i mål. Vid en no-deal situation kommer Storbritannien att betraktas som ett s.k. tredje land. Detta innebär att företag som överför personuppgifter till Storbritannien måste hitta en grund för överföring av personuppgifter till tredje land i enlighet med GDPR. Det finns ett flertal olika grunder som företag kan använda sig av. EU kommissionen kan exempelvis fatta beslut om att utse ett mottagarland som ett land med adekvat skyddsnivå. Sådant beslut har i skrivande stund inte antagits såvitt gäller Storbritannien och företag bör därmed undersöka alternativa grunder. Vid osäkerhet väljer många att ingå standardavtalsklausuler med mottagaren för att se till att överföringar kan ske oavsett yttre omständigheter. GDPR tillåter även ett flertal andra undantag för överföring till tredje land som exempelvis den registrerades samtycke eller bindande företagsbestämmelser.

Vad kommer gälla vid behandling av brittiska medborgares personuppgifter?

Som nämnts ovan kommer det finnas en brittisk motsvarighet till GDPR. Behandlas personuppgifter om brittiska medborgare behöver företag tillse att både brittisk och europeisk lagstiftning tillämpas. ICO har kommunicerat att det i praktiken inte kommer vara stora skillnader mellan GDPR och den brittiska lagstiftningen vilket förenklar för företag som vill vara verksamma på den brittiska marknaden. Exakt hur denna lagstiftning kommer att se ut är ännu inte klarlagt.

Storbritannien har idag en lagstiftning som kompletterar GDPR kallad Data Protection Act 2018 (”DPA 2018”). Denna kommer att tillämpas även efter övergångsperiodens slut. Den brittiska versionen av GDPR kommer att vara en ny lag som ska tillämpas parallellt med DPA 2018. Den 3 februari 2020 publicerade Boris Johnson ett uttalande om att Storbritannien kommer att anta nationell och självständig lagstiftning inom dataskydd.

Hur kommer samarbetet mellan Storbritannien och EU fungera?

I och med utträdet har Storbritanniens medlemskap i Europeiska dataskyddsstyrelsen (EDPB) upphört att gälla. ICO ska dock fortsatt verka för samarbete mellan ICO och EU:s övervakande myndigheter även efter att Storbritannien har lämnat EU.

Hur förbereder ni ert företag?

1. Kontrollera era register och identifiera personuppgiftsbehandlingar i ert företag som kan medföra överföring av personuppgifter till Storbritannien.
2. Undersök hur ni ska säkerställa att överföringar sker på ett legalt sätt utifall att Storbritannien kommer att betraktas som ett tredje land. Prioritera överföringar med en större mängd personuppgifter eller känsliga personuppgifter.
3. Bevaka utvecklingen för lokal brittisk lagstiftning för att vidta åtgärder i god tid.
4. Glöm inte att uppdatera era integritetspolicys. GDPR ställer särskilda krav på information till individer vid en tredjelandsöverföring.

Advokatfirman Delphi följer utvecklingen kring brexit och dess påverkan på hantering av data och personuppgifter. Genom att följa Delphis Tech Blogg blir du uppdaterad löpande.