Dataflöden till Storbritannien vid en hård Brexit - dags att välja rätt strategi
Med mindre än en månad kvar till Brexit är utträdesavtalets varande eller icke varande fortfarande en öppen fråga. Vad händer om EU och Storbritannien står utan ett avtal efter den 30 mars?
Utan ett avtal (no-deal Brexit) kommer Förenade kungadömet England, Skottland, Wales och Nordirland att betraktas som ett tredjeland av EU. Som en följd av detta kommer all laglig överföring av personuppgifter från EES till Storbritannien att behöva behandlas genom antingen godkända skyddsåtgärder eller undantagsbestämmelserna i artikel 49 i GDPR. Detta eftersom Storbritannien i formell mening inte är att betraktas som ett säkert land efter utträdesdagen, trots att UK kommer att fortsätta att tillämpa en variant av GDPR. För att erhålla status som ett säkert land krävs att EU-kommissionen har fattat ett s.k. adekvansbeslut, något som Japan nyligen fick åtnjuta efter flera års förhandlingar. Godkända skyddsåtgärder för överföring till tredjeland vid avsaknad av ett adekvansbeslut är bl. a. standardavtalsklausuler (SCC), bindande företagsbestämmelser samt godkända certifieringar eller uppförandekoder som medger ett adekvat skydd för de registrerades fri- och rättigheter. Personuppgifter från Storbritannien till EES kommer däremot att få flöda fritt, som tidigare, enligt den brittiska regeringen.
Det är därför hög tid att se över sina personuppgiftsbehandlingar och förbereda sig för en hård Brexit. Den första frågan som bör ställas är om det existerar flöden av personuppgifter till Storbritannien och sedan vilka rättsliga skyddsåtgärder som ska gälla för överföringen fortsättningsvis. Analysera de alternativa skyddsåtgärderna utifrån verksamhetsbehovet och implementera tillräckliga åtgärder.