Det finns viktiga saker att tänka på för företag som vill överföra personuppgifter till England efter Brexit. Storbritannien, som består av England, Skottland, och Wales, lämnade den Europeiska Unionen år 2020 efter att ha varit medlem sedan 1973. Detta är i folkmun kallat för Brexit, som står för the British exit.
Efter Brexit har hanteringen av personuppgifter mellan EU och Storbritannien blivit påverkad på ett särskilt sätt under GDPR. Före 1 januari 2021 var Storbritannien fullt omfattad av GDPR, eftersom de var medlemmar inom EU. Men från 1 januari 2021 blev Storbritannien ett ”tredjeland” enligt GDPR, alltså ett land utanför EU/EES. Vid överföring av personuppgifter tillhörande personer inom EU till ett tredjeland, gäller särskilda regler enligt GDPR.
Storbritannien har dock infört en egen version av GDPR, kallad UK GDPR. Den är i stort sett är identisk med EU:s GDPR, men anpassad till brittisk lagstiftning.
Adekvansbeslut om att överföra personuppgifter till England efter Brexit
EU-kommissionen har rätt att fatta beslut om huruvida ett trejdeland har så kallad ”adekvat skyddsnivå”. Om de beslutar detta, kan personuppgifter bli överförda från EU till det tredjelandet utan krav på extra skyddsåtgärder. Exempel på skyddsåtgärder är EU-kommissionens standardavtalsklausuler, bindande företagsbestämmelser, uppförandekoder eller certifieringar.
Ett beslut om adekvat skyddsnivå från EU-kommissionen gäller dock endast under en tidsbegränsad tid, och är föremål för omprövning.
I juni 2021 beslutade EU-kommissionen att Storbritannien har en adekvat skyddsnivå. Beslutet innebär att Storbritannien har en tillräckligt hög skyddsnivå och att personuppgifter får bli överförda över dit utan något särskilt tillstånd eller krav på extra skyddsåtgärder.
EU-kommissionen förlänger beslutet om att Storbritannien har adekvat skyddsnivå med sex månader
Företag som vill överföra personuppgifter till England efter Brexit bör hålla sig uppdaterade kring EU-kommissionens beslut om adekvat skyddsnivå.
Det befintliga adekvansbeslut löper ut den 27 juni 2025. Europeiska dataskyddsstyrelsen, EDPB, har gått med på att EU-kommissionen förlänger adekvansbeslutet som rör överföring av personuppgifter till Storbritannien med sex månader. Detta innebär att beslutet om att Storbritannien har adekvat skyddsnivå gäller till och med 27 december 2025. Fram till dess kommer EU-kommissionen att utvärdera den uppdaterade brittiska dataskyddslagstiftningen som är på väg att färdigställas. Sedan kan EU-kommissionen fatta ett nytt beslut och avgöra om Storbritannien fortsatt ska ha ett beslut om adekvat skyddsnivå eller inte.
Företag måste följa GDPR i praktiken och bevisa det
Företag behöver olika skriftliga rutiner och dokument på plats, för att styrka att det följer GDPR i praktiken. Detta utgör ett krav enligt bland annat principen om ansvarsskyldighet i artikel 5.1 i GDPR. Många väljer att köpa våra GDPR-paket till fast pris, då blir det enklare att få ordning på dokumentation, avtal och rutiner i praktiken. När GDPR blir en integrerad del av verksamheten skapar det inte bara regelefterlevnad, utan också trygghet internt och förtroende externt.
