Brexit och överföring av personuppgifter till Storbritannien

Om Storbritannien lämnar EU utan avtal, blir landet omedelbart ett tredjeland i förhållande till EU och EES. Därefter kan personuppgifter lagligt överföras till Storbritannien endast om det föreligger en överföringsgrund som avses i kapitel V i dataskyddsförordningen.

Det är möjligt att Europeiska kommissionen fattar ett beslut om adekvat skyddsnivå som gäller Storbritannien, varvid uppgifter kan överföras på grundval av det. Då skulle kommissionens likvärdighetsbeslut vara den primära överföringsgrunden. Ett beslut om adekvat skyddsnivå förutsätter emellertid beredning och en omfattande utvärdering av tredjelandets legala system. Så länge inget sådant beslut har fattats ska man vid överföringar tillämpa de lämpliga skyddsåtgärder som avses i artikel 46 i dataskyddsförordningen. Om inte heller lämpliga skyddsåtgärder kan tillämpas som överföringsgrund, är det i vissa begränsade fall att tillämpa undantag i särskilda situationer, om vilka föreskrivs i artikel 49 i dataskyddsförordningen.

Europeiska rådet har beviljat Storbritannien uppskov med brexit till den 31 januari 2020. Tilläggstiden är flexibel på så sätt att Storbritannien kan lämna EU tidigare, om utträdesavtalet träder i kraft tidigare. Det betyder att utträdet kan ske den 1 december 2019 eller den 1 januari 2020.

Om din organisation överför personuppgifter till Storbritannien

  1. Gör en kartläggning av vilka personuppgifter ni överför till Storbritannien.
  2. Om ni kommer att överföra personuppgifter till Storbritannien även efter brexit:
  • Undersök vilken överföringsgrund i kapitel V i dataskyddsförordningen som vore lämplig.
  • Säkerställ att överföringsgrunden tillämpas innan brexit blir verklighet.
  • Uppdatera din organisations dataskyddsdokument till den del som gäller överföring av uppgifter och informera dina kunder vid behov.

Tänk på att en del av överföringsgrunderna kräver en längre beredning medan en del kan tas i bruk snabbt.

Överföringsgrunder som kan tillämpas genast:

  • Standardiserade dataskyddsbestämmelser godkända av kommissionen (SCC)
  • Bindande företagsbestämmelser (BCR), om sådana redan är i bruk och omfattar Storbritannien
  • Undantag i särskilda situationer (art. 49)

Överföringsgrunder som förutsätter en längre beredning:

  • Uppförandekoder
  • Certifieringsmekanismer
  • Bestämmelser som inkluderats i myndigheternas förvaltningsarrangemang

Överföringar av personuppgifter från Storbritannien till EU/EES

Storbritanniens regering har meddelat att man avser bevara det fria flödet av personuppgifter från Storbritannien till Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. Den brittiska regeringen har också för avsikt att erkänna de beslut som Europeiska unionen har fatat om adekvat skyddsnivå. Därför kan de tillämpas på överföring av uppgifter från Storbritannien till de länder eller internationella organisationer vars dataskydd har betraktats som adekvat i Europeiska unionen.

Mer information:
Om överföring av uppgifter till tredjeländer på kommissionens webbplats
Dataskyddsstyrelsens anvisning om överföring av uppgifter i händelse av ett avtalslöst brexit