Nyhet / 18.01.2019

Overføring av persondata til Storbritannia ved no-deal brexit – vil din virksomhet rammes?

Skrevet av Kari Gimmingsrud & Andreas Gard Meyer

Det britiske parlamentet har forkastet utkastet til utmeldelsesavtale med EU. Dermed ligger det an til at Storbritannia forlater EU den 30. mars uten noen avtale. En såkalt no-deal brexit kan få konsekvenser for flyt av persondata mellom virksomheter i Norge og Storbritannia.

EUs personvernforordning (GDPR) stiller krav til virksomheters bruk av opplysninger om enkeltpersoner. Et viktig formål med regelverket har også vært å redusere nasjonale hindre for flyt av persondata og bidra til økonomisk og sosial fremgang i EØS. Overføring av personopplysninger til stater utenfor samarbeidsområdet («tredjestater» i GDPR-terminologi) er derimot underlagt strenge vilkår for å beskytte personvernet.

En no-deal vil trolig innebære at Storbritannia regnes som en tredjestat. Norske virksomheter som overfører persondata til virksomheter i øyriket må i så fall overholde de mer restriktive reglene for overføring til tredjestater.

Storbritannia er en av Norges viktigste handelspartnere og samarbeidende virksomheter har ofte behov for å utveksle personopplysninger seg imellom, for eksempel om kunder og ansatte. Dette er for eksempel aktuelt for norske virksomheter som kjøper tjenester i Storbritannia, for eksempel leverandører av skytjenester eller HR-systemer. Ved en no-deal må slike virksomheter sørge for overføring i samsvar med GDPR kapittel 5.

Hvilke muligheter finnes i så fall for å fortsette å overføre persondata sømløst til britiske virksomheter?

brexit haavind

Utgangspunktet er at overføring til tredjestater bare kan skje dersom EU-kommisjonen fatter beslutning om at staten har tilstrekkelig beskyttelsesnivå. Slik beslutning er blant annet fattet for Canada, Israel og Sveits. Om Kommisjonen er villig til å fatte en slik beslutning for Storbritannia før 30. mars er usikkert. For Japan har prosessen pågått siden januar 2017, og det er fortsatt steg som må gjennomføres. I tillegg vil nok Kommisjonen legge atskillig vekt på at Storbritannia i september 2018 ble dømt for brudd på menneskerettighetene grunnet masseovervåking. Storbritannia har imidlertid gjennomført GDPR noe som kan tilsi en raskere prosess.

I mangel av beslutning om tilstrekkelig beskyttelsesnivå kan persondata overføres til tredjestater ved at partene inngår såkalte standard personvernklausuler vedtatt av EU-kommisjonen. I dag foreligger det to standardavtaler som kan brukes mellom behandlingsansvarlige i og utenfor EØS. Standardavtalene kan være nyttige for norske og britiske virksomheter med behov for informasjonsutveksling om ansatte, kunder osv. I tillegg er det vedtatt en standardavtale som kan inngås mellom en behandlingsansvarlig innenfor EØS, og en databehandler utenfor.

Norske virksomheter som benytter skytjenesteleverandører i tredjestater (for eksempel til lagring av ansattopplysninger og kundedata) kan bruke denne standardavtalen som overføringsgrunnlag.

Derimot kan avtalen ikke benyttes mellom én databehandler i, og en annen utenfor EØS, noe som kan illustreres slik: Hvis din virksomhet har outsourcet selskapets IT-drift til en systemleverandør etablert i EØS, kan ikke leverandøren overføre persondata til underleverandører i tredjestater basert på standardavtalen.

Din virksomhet må i så fall selv inngå standardavtale med underleverandøren eller gi fullmakt til leverandøren som inngår avtalen på dine vegne.

Brexit Haavind no-deal virksomheter England

Selv om standard personvernklausuler i dag gir grunnlag for overføring til tredjestater, pågår det en rettsprosess hvor EU-domstolen skal avgjøre om standardavtalene er ugyldige. 

Konserner med britiske datterselskaper kan også ta i bruk bindende virksomhetsregler for internoverføring av personopplysninger i konsernet. Virksomhetsreglene må sørge for at personvernregelverket overholdes og at alle selskaper i konsernet er forpliktet. GDPR angir en rekke krav til reglenes innhold, herunder kontrollmekanismer for overholdelse av reglene. En utfordring med denne løsningen er at virksomhetsreglene må godkjennes av Datatilsynet. Slik prosess og godkjennelse kan ta lang tid.

Dersom ingen av de ovennevnte overføringsgrunnlagene er relevante, kan overføring til tredjestater skje i særlige situasjoner som angitt i GDPR artikkel 49. Grunnlag foreligger blant annet hvis personen det behandles opplysninger om eksplisitt har samtykket til overføringen, eller hvis overføringen er nødvendig for å inngå en avtale mellom den behandlingsansvarlige og enkeltpersonen. Hvorvidt en kan benytte overføringsgrunnlagene i artikkel 49 krever en grundig vurdering.

Hvilke tiltak bør din virksomhet forberede nå?

Alle norske virksomheter bør kartlegge om de overfører personopplysninger til Storbritannia. Hvis svaret er ja, må det vurderes om dere har eller kan få på plass et tilstrekkelig og lovlig grunnlag for overføringen. Det bør også undersøkes om virksomheten benytter databehandlere i EØS med underleverandører (databehandlere) i Storbritannia. I tillegg bør det gjennomføres en risikovurdering av overføringen til tredjestat i tråd med regelverket.

BREXIT

Hvilken eksponering har din virksomhet?

Storbritannia trer ut av EU og EØS 30. mars 2019. Det britiske underhuset har forkastet utkastet til utmeldelsesavtale. Nå er det stor risiko for en «no-deal» brexit. LES MER HER

  • Kari Gimmingsrud

    Partner

    Kari leder "Personvern"-teamet, er både veileder og sensor ved juridisk fakultet, UiO og holder jevnlig foredrag, blant annet for Juristenes utdanningssenter, Data Analytics Nordics mv.

  • Andreas Gard Meyer

    Advokatfullmektig

    Andreas Gard Meyer bistår hovedsakelig med compliance med personvern, kontraktsrettslige spørsmål, transaksjoner i IKT-sektoren, og løpende rådgivning i spørsmål om immaterielle rettigheter, særlig opphavsrett. Han har også spesialisert seg innen regelverk for elektronisk kommunikasjon, herunder sektorspesifikk konkurranselovgivning.