Behandling av personopplysninger i Storbritannia etter Brexit
Den 31. desember avsluttet overgangsperioden etter Brexit, og nye avtaler mellom Storbritannia og EU ble forhandlet fram og undertegnet på selveste julaften 2020. Behandlingen av personopplysninger for EU- / EØS-borgere i Storbritannia er dermed avklart, og GDPR blir beholdt i det britiske lovverket men med nødvendige endringer for å sikre at loven nå er gjeldende for Storbritannia.
Skrevet av Berit Bekkevold, Senior informasjonssikkerhetskonsulent
I disse dager jobbes det for at Europakommisjonen vil anerkjenne at Storbritannia har et tilstrekkelig beskyttelsesnivå for personopplysninger. Inntil denne beslutningen er tatt vil "Handels- og samarbeidsavtalen mellom EU og Storbritannia", som inneholder en mekanisme som tillater fortsatt fri flyt av personopplysninger fra EU/EØS til Storbritannia, være gjeldende. Denne avtalen utløper 30. april 2021, med mulig forlengelse til 30. juni 2021.
Hva med norske virksomheter?
Norge har sluttet seg til de relevante bestemmelsene i avtalen, slik at den midlertidige ordningen også gjelder for norske virksomheter. Den nye midlertidige forskriften gjelder fra 1. januar 2021.
For Norge innebærer dette dermed fri flyt av personopplysninger mellom Norge og Storbritannia fram til en beslutning om tilstrekkelig beskyttelsesnivå for personopplysninger i Storbritannia er på plass eller "Handels- og samarbeidsavtalen mellom EU og Storbritannia" utløper.
Norske virksomheter som behandler personopplysninger i Storbritannia, må til enhver tid sikre at overføringsgrunnlaget er lovlig. Dersom Storbritannia ikke har tilstrekkelig beskyttelsesnivå for personopplysninger, men det er inngått en kontrakt med databehandleren der Europakommisjonens standardbestemmelser (SCC) er inkludert i avtalen, eller at databehandleren er en multinasjonal organisasjon som har forpliktet seg til bindende virksomhetsregler, kan dette være tilstrekkelig.
Hva kan virksomheten gjøre?
Dersom din virksomhet bruker databehandlere i Storbritannia til å behandle personopplysninger bør dere gjøre følgende:
- Gjennomgå behandlingsprotokoller og databehandleravtaler og skaff oversikt over hvilke personopplysninger som behandles hvor, hvordan og av hvem.
- Inntil videre kan personopplysninger om norske borgere behandles i Storbritannia som før, men dersom det er viktig at behandlingen ikke stopper opp bør det vurderes å utarbeide ny kontrakt som inkluderer Europakommisjonens standardbestemmelser (SCC) eller bindende virksomhetsregler (BCC) for å ta høyde for at det ikke anerkjennes at Storbritannia har tilstrekkelig beskyttelsesnivå for personopplysninger.
- Følge med på endringer i personvernlovgiving samt sikkerhetslovgivning, overvåkningslover og annet relevant lovverk som kan påvirke oppfyllelse av personvernlovene og føre til at Storbritannia ikke lenger har et tilstrekkelig beskyttelsesnivå på personopplysningene.
Berit Bekkevold er også intervjuet av Digi om samme tema, publisert den 18.01.2021. Les saken her.
