Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

”Hård Brexit får stora och omedelbara konsekvenser för behandling av personuppgifter”

Vardagsjuridik
Publicerad: 2019-05-20 08:22

KRÖNIKA – av jur. kand. Margarita Kozlov och jur. kand. Jennie Nilsson, Baker McKenzie 

 

En hård Brexit, där Storbritannien lämnar EU utan utträdesavtal (”No-deal Brexit”), kommer att ha stora och omedelbara konsekvenser för dataskydd och GDPR. Vad många företag inte känner till är att Storbritannien i så fall per automatik blir ett så kallat tredjeland som det inte är tillåtet att fritt föra över personuppgifter till.

Det brittiska parlamentet har röstat för att skjuta upp Brexitdatumet till den 31 oktober 2019. Storbritannien kan dock lämna dessförinnan om man skriver under utträdesavtalet med EU.

I avsaknad av ett utträdesavtal, eller ett beslut från EU-kommissionen om att Storbritannien anses ha en adekvat skyddsnivå för behandling av personuppgifter, så krävs alternativa skyddsåtgärder för att föra över personuppgifter från EU till Storbritannien. Exempel på detta är standardavtalsklausuler eller bindande företagsbestämmelser.

Flera internationella företag med verksamhet i Storbritannien har tagit fram bindande företagsbestämmelser för att reglera sin behandling av personuppgifter. Det finns risk för att den svenska Datainspektionen inte hinner godkänna alla dessa, om det blir ett brittiskt utträde utan avtal. Både Storbritannien och EU har dock angett att det finns en stark vilja att möjliggöra överföringar av personuppgifter utan att lämpliga skyddsåtgärder har vidtagits.

En ”No-deal Brexit” kommer således att innebära hårdare krav på gränsöverskridande personuppgiftsbehandling, och företagens GDPR-ansvariga bör se över sina dataflöden till Storbritannien. Företag med verksamhet i Storbritannien bör inför Brexit tänka på följande:

1. Ansvariga tillsynsmyndigheter
En personuppgiftsansvarig ska som huvudregel endast ha kontakt med ett lands tillsynsmyndighet, den så kallade ”ansvariga tillsynsmyndigheten”.

Oavsett om Storbritanniens utträde sker under ordnade former eller inte, så bör organisationer se över vilket lands tillsynsmyndighet som kommer att vara den ansvariga tillsynsmyndigheten efter Brexit – särskilt om den ansvariga tillsynsmyndigheten i dagsläget är ICO (Information Commissioner’s Office) i Storbritannien.

Organisationer som har sin ansvariga tillsynsmyndighet i en EU-medlemsstat men även behandlar personuppgifter om individer i Storbritannien, kommer att behöva ha kontakt med ICO efter Brexit.

2. Personuppgiftsincidenter
I händelse av gränsöverskridande personuppgiftsincidenter som har anknytning till både Storbritannien och ett EU-land, kommer en anmälan att behöva göras till både den ansvariga tillsynsmyndigheten i EU-landet och till ICO. Har ingen ansvarig tillsynsmyndighet identifierats kan det i vissa fall vara nödvändigt att informera alla relevanta tillsynsmyndigheter.

Vi rekommenderar att företag ser över sina rutiner för incidentanmälan och tar reda på hur en eventuell anmälan görs till ICO.

3. Register över behandlingar
Enligt GDPR är organisationer skyldiga att föra ett register eller en förteckning över hur personuppgifter behandlas. Registret ska bland annat innehålla uppgifter om överföringar av personuppgifter till tredjeland, samt vara uppdaterat.

När Storbritannien lämnar EU kommer svenska företag som överför uppgifter till Storbritannien att behöva uppdatera sina register och se till att de innehåller uppgifter om överföringar till Storbritannien, tillsammans med uppgifter om lämpliga skyddsåtgärder som vidtas.

4. Integritetsmeddelanden
I fjol mottog vi alla av ett mycket stort antal integritetsmeddelanden och mejl med information om behandling av personuppgifter. Tanken med så kallade ”privacy notices” och andra integritetsmeddelanden är att de ska vara levande dokument och hållas uppdaterade.

När Storbritannien betraktas som tredjeland kommer företagens GDPR-ansvariga att behöva se över sina integritetsmeddelanden, för att säkerställa att de innehåller uppgifter om överföringar till tredjeländer. Organisationer som överför personuppgifter till Storbritannien kommer, även inom sin egen koncern, att behöva tillhandahålla uppdaterade integritetsmeddelanden.

GDPR fick mycket fokus i fjol. I år har stort fokus legat på Brexit, och svenska företag med exponering mot Storbritannien håller på att sätta upp nya bolagsstrukturer i EU. Men det är också viktigt att bolagen förbereder sig för de åtgärder som behöver vidtas för att personuppgifter även fortsättningsvis ska kunna överföras till Storbritannien. Osäkerheten är stor, men företag behöver planera för en hård Brexit.

 

Skribenterna arbetar med arbetsrätt och dataskyddsfrågor på Baker McKenzie Advokatbyrå och skriver regelbundet i Dagens Juridik.

 

 

 

 

Gratis nyhetsbrev om rättsfall och juridik från Dagens Juridik – klicka här 

 


Mitt DJ Premium

Få tillgång till bakomliggande domar och dokument som ligger till grund för aktuella artiklar och reportage.


Dela sidan:
Skriv ut:


Stefan Wahlberg
stefan.wahlberg@blendow.se