Storbritannia forbereder seg på personvern etter Brexit: To nye forskrifter

Når Storbritannia forlater EU, vil Personvernforordningen (GDPR) ikke lenger gjelde direkte i Storbritannia. To nye forskrifter har derfor nylig blitt kunngjort av det britiske parlamentet for i så stor grad som mulig å kunne beholde status quo og er ment å skulle tre i kraft når Storbritannia trer ut av EU. Begge forskriftene ble utgitt i henhold til Storbritannias European Union (Withdrawal) Act 2018.

Formålet med Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 er å sikre at gjeldende britisk personvernlovgivning fortsetter å være anvendelig etter uttreden og dermed er flere av endringene gjort av forskriftene mindre eller tekniske og erstatter EU-relatert terminologi med tilsvarende britisk terminologi (f.eks. erstattes "GDPR" med "EU GDPR" til forskjell fra "UK GDPR", der sistnevnte refererer til GDPR slik som denne skal utgjøre en del av britisk rett ved paragraf 3 av Storbritannias European Union (Withdrawal) Act 2018 når den trer i kraft.) Blant de endringene som er verdt å nevne er de som gjelder overføring av personopplysninger fra Storbritannia og de som gjelder den eksterritoriale anvendelsen av UK GDPR.

For å sørge for at etablert dataflyt fra britiske behandlingsansvarlige til organisasjoner utenfor Storbritannia kan fortsette etter at Storbritannia forlater EU, innfører forskriftet overgangsbestemmelser i Data Protection Act 2018 for beslutning om tilstrekkelig beskyttelsesnivå, standard kontraktsklausuler og bindende virksomhetsregler. Storbritannias Data Protection Act 2018 i sin nåværende form (før Brexit) supplerer GDPR innenfor Storbritannia med nasjonale særbestemmelser. En slik overgangsbestemmelse i forskriftet gjør det mulig for personopplysninger å fortsette å flyte fra Storbritannia til jurisdiksjoner som er underlagt en såkalt "EU beslutning om tilstrekkelig beskyttelsesnivå" vedtatt før uttredelsesdagen. På samme måte vil de bindende virksomhetsreglene autorisert av Storbritannias Information Commissioner før uttredelsesdagen fortsette å være anerkjent.

Når det gjelder ekstraterritorial anvendelse av UK GDPR, er ett av kravene i forskriftet at det etter Brexit vil kreves at databehandlere og behandlingsansvarlige utenfor Storbritannia utpeker en representant i Storbritannia, bortsett fra der behandlingen er sporadisk, ikke innebærer behandling av spesielle kategorier av personopplysninger eller opplysninger knyttet til straffedommer eller forbrytelser i stor skala, og det ikke er sannsynlig at det vil medføre en risiko for fysiske personers rettigheter og friheter.

Det andre forskriftet –  Data Protection, Privacy and Electronic Communications (Amendments Etc) (EU Exit) (No.2) Regulations 2019 – gjelder overføringer til USA etter "Privacy Shield" rammeverket. For at amerikanske selskaper skal kunne fortsette å motta personopplysninger fra Storbritannia i tråd med Privacy Shield etter Storbritannias uttreden fra EU, vil de bli pålagt å oppdatere deres personvernregler ved å ta inn en forpliktelse om å overholde Privacy Shield-prinsippene for personopplysninger som er overført fra Storbritannia.

Ingen av disse endringene burde være spesielt tyngende for norske virksomheter som opererer eller  driver virksomhet i Storbritannia, men de er en betimelig påminnelse for slike virksomheter om at retningslinjer og prosedyrer bør vurderes generelt i lys av Brexit. 

Se også Draft Data Protection, Privacy and Electronic Communications (Amendments Etc.) (EU Exit) Regulations 2019, Parliamentary Debates (Hansard). House of Commons, February 14, 2019.