1. UtdanningFinansInternasjonal finansGDPR og Brexit: Håndtere personopplysningene til EU-borgere

Av Nicholas Wallwork

Brexit har gitt mange spørsmål rundt GDPR. Med mindre du har levd under en stein de siste par årene, vil du ha lest og hørt mye om virkningen av EUs generelle databeskyttelsesforordning (GDPR), som trådte i kraft 25. mai 2018. Men med at GDPR er en EU-forskrift, vil britiske virksomheter fortsatt måtte overholde GDPR-reglene etter Brexit?

Det korte svaret er ja, bedrifter i Storbritannia vil fortsatt måtte overholde GDPR-regler selv etter Brexit. Men i noen tilfeller kan detaljene i hvordan selskapet ditt håndterer data endre seg litt etter Brexit.

Å erkjenne at GDPR er nedfelt i britisk lov og Brexit vil ikke endre det

Kort sagt er GDPR designet for å gi alle EU-borgere større kontroll over hans eller hennes personopplysninger, inkludert navn, fødselsdato og e-postadresse. Det sikrer at selskaper ikke kan lagre og bruke personopplysningene til EU-borgere uten deres eksplisitte samtykke, og fremmer rettferdig, gjennomsiktig bruk av personopplysninger.

At britiske statsborgere ikke lenger vil være EU-borgere etter Brexit spiller ingen rolle. Implementering av GDPR i Storbritannia er dekket av det britiske parlamentets databeskyttelseslov 2018. Således er GDPR allerede skrevet inn i britisk lov, og regjeringen har forpliktet seg til å opprettholde GDPR-samsvar i Storbritannia. Dette sikrer at borgere i Storbritannia vil fortsette å få samme beskyttelse som sine naboer i EU når det gjelder rettferdig bruk av dataene.

Dette betyr at alle protokollene du har satt i verk for å lovlig håndtere dataene til kundene dine (enten de er i Europa eller Storbritannia) fortsatt vil gjelde, og du bør absolutt opprettholde samsvar med GDPR.

Men hvorfor fortsette med noe som oppsto som EU-lov når så mye av retorikken rundt Brexit handlet om å "ta tilbake kontrollen"? Det kyniske svaret er at bedrifter og offentlige organer i Storbritannia allerede har brukt millioner på å sikre at deres datapraksis var i samsvar med GDPR. Hvis regjeringen trakk tilbake på GDPR nå, ville det bety at alle utgiftene var meningsløse. Etter all tid, krefter og penger brukt, ville det være sprøtt å “angre” GDPR i Storbritannia.

Det mindre kyniske svaret er at GDPR er en god ting, for organisasjoner og for enkeltpersoner. Jada, det gir ekstra belastninger når det gjelder samsvar, men det er ingen tvil om at det gir viktig beskyttelse for innbyggernes private data. Når teknologien utvikler seg og verden blir stadig mer drevet av data, vil disse beskyttelsene bare bli mer verdifulle.

Det er også viktig å huske at et nært forhold mellom Storbritannia og EU fremover sannsynligvis vil være avhengig av at begge parter har lignende reguleringssystemer. Derfor er GDPR bare ett område der britiske virksomheter effektivt vil operere i tråd med europeiske virksomheter.

Overføring av data mellom Storbritannia og EU etter Brexit

Grovt sett vil hvordan britiske bedrifter håndtere personopplysninger forbli de samme. Men det er en stor usikkerhet rundt hva som skjer med virksomheter som overfører data mellom Storbritannia og de resterende EU27-landene etter Brexit (for eksempel hvis et selskap har kontorer i Storbritannia og Europa, eller hvis en britisk virksomhet bruker en skytjenesteleverandør basert i EU).

Under GDPR kan ikke data overføres mellom EU og tredjeland (ikke-EU-land) med mindre disse landene er ansett for å ha "tilstrekkelig" databeskyttelse.

I det mindre sannsynlige tilfellet av Brexit uten avtale, vil Storbritannia umiddelbart bli betraktet som et tredjeland, noe som betyr at EU-kommisjonen vil måtte vurdere at Storbritannia har tilstrekkelige beskyttelsesnivåer for at smidig overføring av data skal fortsette . (I teorien sikrer databeskyttelsesloven at Storbritannia gir et tilstrekkelig nivå av beskyttelse, men som med så mye av Brexit, er det et tilfelle av vent og se om dette spiller ut i virkeligheten.)

Og hvis Storbritannia avslutter med en uttaksavtale på plass, kan dataoverføringer fortsette som normalt i løpet av en overgangsperiode.

Hold deg oppdatert om de nyeste GDPR-rådene ved å besøke følgende nettsteder:

  • Endringer i Storbritannias databeskyttelseslov i tilfelle Storbritannia forlater EU uten avtale Internasjonale dataoverføringer