Brexit och GDPR – nu händer det, men vad gör vi?

Brexit och GDPR – nu händer det, men vad gör vi?

Dagen D för Brexit närmar sig vilket innebär att Storbritannien i ett GDPR-perspektiv kommer att betraktas som ett ”tredje land”, dvs. ett land som inte tillhör EU/EES. Vad innebär det för dig som har en verksamhet som innefattar överföringar av personuppgifter från EU till Storbritannien? Och vad behöver du göra för att överföringarna ska vara tillåtna också den 1 januari 2021?

Lösningar i teori och praktik

Huvudregeln i GDPR är att personuppgifter inte får exporteras (överföras) från EU/ESS till en mottagare i ett tredje land. I praktiken exporteras förstås enormt stora mängder personuppgifter till tredje land och från huvudregeln i GDPR om ”exportförbud” finns flertal undantag som – rent teoretiskt – skulle kunna ge möjligheter till export av personuppgifter också post-Brexit. Av dessa undantag är det för de allra flesta organisationer bara två som är aktuella.

Adekvat skyddsnivå

EU-kommissionen kan besluta att Storbritannien har en ”adekvat skyddsnivå” för behandling av personuppgifter. Med ett sådant beslut är det fritt fram för export av personuppgifter också efter Brexit. Detta vore förstås den mest rationella och enkla lösningen, men frågan innehåller ett stort mått av politik och hänger ihop med de mer övergripande förhandlingarna om Brexit mellan EU och Storbritannien. Att kommissionen ska fatta ett beslut innan den 1 januari 2021 får betraktas som uteslutet. Därmed är ”adekvat skyddsnivå” tyvärr inte en lösning på GDPR och Brexit i närtid.

EU-kommissionens standardavtalsklausuler

EU-kommissionens standardavtalsklausuler (Standard Contractual Clauses, SCC) kan användas för att avtalsvägen hitta ett skydd för de uppgifter som exporteras. Schrems II-domen innebär dock att användningen av SCC blivit ordentligt komplicerad. Utöver att exportören och importören tecknar avtal genom SCC måste exportören (den part som finns i EU/EES) också (1) säkerställa att lagstiftningen i det land där importören finns har en ”tillräcklig skyddsnivå” för personuppgifter, och (2) att ”ytterligare skyddsåtgärder” vidtas.

I dagsläget finns inga konkreta vägledningar om hur man ska bedöma om ett land har ”tillräcklig skyddsnivå” och inte heller när det gäller vad som kan vara ”ytterligare skyddsåtgärder”. Den Europeiska dataskyddstyrelsen (EDPB) har visserligen försökt lämna viss vägledning, men det som hittills har presenterats rätar inte ut så många frågetecken.

Som lök på laxen är det också så att SCC bara kan tillämpas (1) mellan en exporterande personuppgiftsansvarig och en importerande personuppgiftsansvarig, och (2) mellan en exporterande personuppgiftsansvarig och ett importerande personuppgiftsbiträde. I den delen finns det dock visst hopp eftersom EU-kommissionen har lagt fram ett förlag till nya SCC, som är tänkta att täcka alla möjliga scenarier. När ny SCC kan var på plats är just nu höljt i dunkel, men det verkar helt klart att de inte kommer att vara på plats den 1 januari 2021.

Så vad gör vi nu?

Det är ingen överdrift att säga att det är väldigt många frågor kring GDPR och överföringar till tredje land som hänger i luften just nu. Så hur ska man rent praktiskt hantera Brexit?

Tyvärr finns det i dagsläget ingen silver bullet, men följande tips och råd på vägen kanske kan hjälpa er att komma vidare.

1. Kartlägg/verifiera export av personuppgifter till Storbritannien

Se till att kartlägga/verifiera vilken export av personuppgifter som faktiskt sker till Storbritannien – ordentlig kontroll och kunskap är A och O. Kanske kan ni också hitta någon överföring som faktiskt inte är nödvändig för verksamheten.

2. Identifiera lagliga sätt för export

För de allra flesta är SCC idag det enda alternativet för en export av personuppgifter Storbritannien från och med 1 januari 2021. Användningen av SCC förutsätter dock också bedömningar av ”tillräcklig skyddsnivå” och” ytterligare skyddsåtgärder” där konkret vägledning saknas, vilket innebär att det är svårt att med säkerhet säga vad som krävs för att dataexport med SCC verkligen ska vara förenlig med GDPR. Dessutom är det ju så att SCC inte täcker alla scenarier.

3. Välj strategi

Vi är många som hoppas på att fler pusselbitar trillar på plats i närtid – ett kommissionsbeslut om att Storbritannien erbjuder adekvat skyddsnivå, nya SCC, ytterligare förtydliganden från EDPB m.m. Den stora frågan för organisationen är därmed om mer omfattande aktiviteter med anledning av Brexit ska startas nu, eller om det är bättre att sitta still i båten och se vad som kan tänkas hända på området i närtid. 

4. Ta hjälp

Frågor som rör GDPR och tredjelandsöverföringar kan vara lite svåra att greppa. Om ni har svårt att komma vidare hjälper vi er förstås gärna, antingen genom något av våra erbjudanden om support till fasta priser eller på något annat sätt som passar er organisation.