Det sitter i väggarna
28 januari, 2019GDPR och e-PR – Det tvehövdade monstret
22 februari, 2019I dagens digitala samhälle hänger frihandel och obehindrade dataflöden obönhörligen ihop. Utan det ena eller det andra hindras handeln, både mellan företag och mellan företag och konsument och det är därför ganska naturligt att det uppstår osäkerhet och frågetecken i kölvattnet kring Brexit. Dagen då Storbritannien inte längre tillhör den Europeiska unionen kryper stadigt närmare och det är i skrivande stund bara en dryg månad kvar. Trots den korta tiden kvar till utträdesdatumet är det väldigt få saker som är förutsebara. En av dem är dock att Storbritannien kommer att lämna det gemensamma tullområdet som EU:s medlemsstater tillhör. En annan sak som är säker är att Storbritannien, såvida de inte går med på att kvarstå i det europeiska ekonomiska samarbetsområdet (EES), kommer att räknas som ett tredjeland ur ett GDPR-perspektiv. Vad innebär det för er verksamhet? PrivacyWorks bjuder här på några konkreta tips om hur ni ska ta er an Brexit ur ett dataskyddsperspektiv.
1. Er verksamhet behöver inventera era dataflöden för att se om några personuppgifter överförs till Storbritannien. Det räcker med att personuppgifter överförs till Storbritannien av era personuppgiftsbiträdens under-underleverantörer för att ni ska vara ansvariga för att personuppgifterna är skyddade i tredjeland.
2. Om någon personuppgiftsöverföring till Storbritannien sker måste denna överföring ha en så kallad adekvat skyddsnivå. Alternativen på hur en sådan skyddsnivå uppnås kan hittas i kapitel V GDPR. De viktigaste och mest använd(bar)a är:
- EU-kommissionen har beslutat det mottagande landet har en adekvat skyddsnivå. Detta beslut tas efter att EU-kommissionen har undersökt landets dataskyddsreglering för att se att det håller en tillräckligt bra nivå. Blir landets dataskyddsreglering godkänt kan överföring till ett sådant land ske utan ytterligare tredjelandsåtgärder.
- Standardklausuler. Er verksamhet signerar så kallade standardklausuler (även kallade EU Model Clauses) med den mottagande parten i Storbritannien. Dessa standardklausuler finns för två situationer, antingen mellan två personuppgiftsansvariga eller mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. Då förbinder sig helt enkelt den mottagande parten att behandla personuppgifterna enligt standardklausulerna, vilket motsvarar en godkänd nivå.
- En multinationell koncern kan välja att inkorporera så kallade Binding Corporate Rules (BCRs), dvs företagsbestämmelser om hur personuppgifter ska behandlas inom koncernen. Dessa ska förankras och godkännas av respektive tillsynsmyndighet i de länder där de kommer att användas.
PrivacyWorks källor säger att Storbritannien redan har förberett förhandlingar med EU-kommissionen om att få ett beslut om att de har en adekvat skyddsnivå, men rent officiellt kan dessa förhandlingar alltså inte påbörjas förrän utträdesdatumet har inträffat. Därför kommer det, trots goda intentioner, att inträffa en period då överföring av personuppgifter till Storbritannien måste skyddas aktivt av verksamheterna som överför och tar emot.
3. Med hänsyn till det eventuella glappet måste någon av ovanstående alternativ vara redo att implementeras och användas den 30 mars 2019. BCRs tar ett tag att få godkända, så har er koncern inte redan godkända BCRs på plats är standardklausuler i praktiken det enda realistiska alternativet.
4. Uppdatera era dokument med information om tredjelandsöverföringen till Storbritannien. Dels måste er registerförteckning uppdateras, men även informationen till de registrerade. Glöm inte heller att kolla igenom era biträdesavtal, speciellt om er verksamhet behandlar personuppgifter i rollen som personuppgiftsbiträde. Tillåter avtalen att personuppgifterna överförs till tredjeland?
Så! Har ni jobbat igenom dessa steg har du kommit en bra bit på väg mot att ta kontroll över personuppgiftsöverföring till Storbritannien post-Brexit. Sen kan ni gott unna er en kopp kaffe, kanske till en passande spellista?
Har ni eller er verksamhet frågor om tredjelandsöverföring eller behöver hjälp med att sätta stegen ovan i verket, tveka inte att kontakta oss på PrivacyWorks.