Aðlögunartímabili vegna útgöngu Bretlands úr Evrópusambandinu (ESB) mun ljúka um áramótin. Verði af Brexit án samnings, eins og líkur standa nú til, mun Bretland ekki lengur eiga aðild að ESB og mun því teljast svokallað þriðja ríki þegar kemur að miðlun persónuupplýsinga þangað frá ESB- og ríkjum Evrópska efnahagssvæðisins (EES). Kann slíkt að hafa mikla þýðingu fyrir fyrirtæki, stofnanir og aðra ábyrgðaraðila þar sem einungis verður mögulegt að miðla persónuupplýsingum til Bretlands að ef heimild fyrir miðluninni samkvæmt ákvæðum V. kafla almennu persónuverndarreglugerðarinnar (GDPR) liggur fyrir.

Persónuupplýsingar eru allar upplýsingar sem hægt er að tengja við einstakling, t.d. nafn, kennitala, staðsetningargögn, ljósmynd (sjá nánar á vefsíðu persónuverndar ). Mikilvægt er að íslenskir aðilar sem miðla persónuupplýsingum til Bretlands geri sér grein fyrir nauðsynlegum ráðstöfunum til að viðhalda frjálsu flæði persónuupplýsinga. Ráðstafanir sem fyrirtæki og stofnanir innan EES þurfa að grípa til eru:

  1. Kortleggja miðlun persónuupplýsinga til Bretlands.
  2. Innleiða viðeigandi ráðstafanir til að viðhalda miðlun persónuupplýsinga.
  3. Uppfæra persónuverndartilkynningu.
  4. Hvort nauðsynlegt sé að tilefna fulltrúa í Bretlandi. Um fulltrúa í þessu sambandi fer eftir landfræðilegu gildissviði GDPR.
  5. Meta stöðu persónuverndarfulltrúa.

Í þessu sambandi má benda á að þann 15. desember sl. gaf Evrópska persónuverndarráðið út yfirlýsingu um lok aðlögunartímabilsins og hvernig miðlun persónuupplýsinga til Bretlands skuli háttað við þær aðstæður. Yfirlýsingin fjallar jafnframt um afleiðingar í tengslum við eftirlit og kerfi einnar afgreiðslu (e. One-Stop-Shop mechanism). Með hliðsjón af yfirlýsingu Evrópska persónuverndarráðsins er mikilvægt að ganga frá fyrirkomulagi sem tryggir heimild fyrir miðlun persónuupplýsinga til Bretlands fyrir 1. janúar 2021. Ef ekki er gripið til viðeigandi ráðstafana fyrir þann tíma telst miðlunin óheimil frá þeim degi.

Ráðstafanir fyrir miðlun persónuupplýsinga

Þær ráðstafanir sem koma til greina samkvæmt V. kafla GDPR eru í fyrsta lagi þegar flutningur byggist á stöðluðum samningsskilmálum (e. standard contractual clauses) sem framkvæmdastjórnin hefur samþykkt. Í öðru lagi þegar flutningur byggist á bindandi fyrirtækjareglum (e. binding corporate rules) ef um miðlum er að ræða á milli félaga í sömu samstöðu. Áður en notast er við slíkar reglur þarf persónuvernd að samþykkja þær. Í þriðja lagi kann flutningur að byggjast á fullnægjandi ákvörðun (e. adequacy decision). Með fullnægjandi ákvörðun viðurkennir framkvæmdastjórnin að bresk löggjöf tryggi persónuvernd sem veitir sambærilega vernd og GDPR.

Breska ríkisstjórnin hefur lýst yfir vilja sínum til að gefa út eigin útgáfu af GDPR (UK GDPR) til að koma til móts við löggjöfina innan EES. Það er þó alltaf möguleiki á mismunandi túlkun sem gæti haft þýðingu ef Bretland fengi fullnægjandi ákvörðun um hvort að vernd sé fullnægjandi þar sem framkvæmdastjórnin þarf reglulega að endurskoða slíkar ákvarðanir.

Tilnefning fulltrúa í Bretlandi

Loks má benda á að að eftir aðlögunartímabilið munu fyrirtæki innan EES sem ekki eru með skrifstofu í Bretlandi þurfa að skipa fulltrúa í Bretlandi fari vinnsla persónuupplýsinga eða sala á vörum þar fram. Þessi ráðstöfun er sambærileg þeirri sem gildir samkvæmt GDPR þegar ábyrgðaraðili eða vinnsluaðili á ekki staðfestu innan EES og ber honum þá að tilefna fulltrúa sinn innan svæðisins. Fyrirtæki utan EES sem eiga bæði viðskipti í ESB og Bretlandi þurfa því að skipa fulltrúa bæði innan EES og í Bretlandi.

Að þessu sögðu er mikilvægt að íslensk fyrirtæki og stofnanir fylgist vel með framþróun mála í Bretlandi og bendir undirrituð sérstaklega á vefsíðu bresku persónuverndarskrifstofunnar (ICO) í þessu sambandi.

Höfundur er lögfræðingur, LL.M. á alþjóðlegu lögmannsstofunni Van Bael & Bellis.