Secify.com

Så här hanterar din organisation Storbritanniens utträde

4 mars, 2020
Uppdaterad: 30 augusti, 2023
Uppskattad lästid: 6 min

Introduktion

Vad gör vi för att möta utträdet?

Efter en lång process kom dagen vi bävat inför, Storbritanniens utträde ur EU-gemenskapen. Denna internationella omställning kommer medföra omfattande förändringar för EU:s relation till den tidigare viktiga bundsförvanten, men med minnet av GDPR:s inträde fortfarande färskt i minnet, så infinner sig frågan; ” hur påverkar Brexits vårt dataskydd?”.

Oklart läge

Vad sker nu?

I samband med att Storbritannien lämnar EU, så har ett utträdesavtal slutits mellan dem och EU, vilket medför en övergångsperiod till slutet av 2020. Under detta år är därav avsikten att besluta om en ny överenskommelse reglerande dataöverföring (eventuellt likt det som nu föreligger med USA, Privacy Shield). Under denna övergångsperiod kommer fortfarande GDPR vara gällande i Storbritannien.

Vad sker efter övergångsperioden?
Framtiden är fortfarande oviss, så allt beror till stor del på resultatet av pågående och kommande förhandlingar. Storbritanniens tillsynsmyndighet, Information Commissioner’s Office (ICO), har konstaterat att deras utgångsläge är att succesivt implementera GDPR i brittisk lag, men faktum kvarstår att det fortfarande handlar om nu två olika lagar inom separata jurisdiktioner. Detta innebär att även om ICO menar på att de två lagarna skulle vara kompatibla, så är det fortfarande EU-kommissionen som har det sista ordet. Detta väcker frågan vad kan företag inom EU förvänta sig om ett positivt avtal uteblir?

Problemet

Ett avtalslöst Brexit

GDPR har möjliggjort det fria flödet av personuppgifter inom det europeiska ekonomiska samarbetet (EES), vilket gett organisationer den nödvändiga friheten att driva alla aspekter av sin affärsverksamhet. En ”avtalslös” Brexit kommer dock innebära en störning i detta flöde av personuppgifter och lägga till ytterligare arbetsbelastning och påtryckningar för företag som delar personuppgifter mellan jurisdiktionerna.
Varje organisation som behandlar personuppgifter, överför, eller har delar av sin verksamhet i Storbritannien kommer bli tvungna att vidta åtgärder för att säkerställa efterlevnaden av GDPR. ICO har i ett uttalande förkunnat att den brittiska regeringen avser att möjliggöra dataflöde från Storbritannien till EES utan några ytterligare åtgärder, men överföringar från EES till Storbritannien kommer att påverkas.

Lösningen

Hur ska överföring bli möjlig?

För att möjliggöra överföring mellan EU och Storbritannien, så är följande åtgärder applicerbara.

Adekvansbeslut

Europa kommissionen har befogenhet att avgöra om ett land utanför EES erbjuder en tillräckligt hög nivå för dataskydd, antingen genom sin nationella lagstiftning eller internationella åtaganden som har ingåtts.

Ett land utanför EES måste säkerställa en adekvat skyddsnivå och det kan innebära en lång process. Avseende Storbritanniens situation rörande denna process, har den europeiska datatillsynsman, Wojciech Wiewiórowski sagt att Storbritannien troligtvis måste vänta ett bra tag innan förhandlingarna. I nuläget är Storbritannien på trettonde plats av ansökande länder.

Bindande företagsregler (BCR)

BCR är interna regler för dataöverföring inom multinationella företag. De tillåter multinationella företag att överföra personuppgifter internationellt inom samma företagsgrupp till länder som inte ger en tillräcklig skyddsnivå. Det finns en lång godkännandeprocess involverad i upprättandet av BCR, inklusive en översyn av BCR: er av relevanta Dataskyddsmyndigheter

Standard avtalsklausuler

Europeiska kommissionen kan besluta att standardkontraktsklausuler erbjuder tillräckliga skyddsåtgärder för att personuppgifter ska överföras internationellt. Organisationer har just genomgått en lång process med kontraktsändringar och ändringar som krävs av GDPR.

När Storbritannien lämnar EU som ett resultat av Brexit kommer ytterligare granskning och ändring av alla databehandlings- / överföringsavtal mellan EES och Storbritannien att krävas. Detta medför inte bara en administrativ börda utan har också ekonomiska konsekvenser.

Hur ska företag förbereda sig?

  • Att hålla uppdaterade register över personuppgiftsbehandling är kärnan i efterlevnaden av GDPR. Använd registerförteckningen för att skapa en komplett lista över alla dataflöden till och från Storbritannien.
  • Uppdatera due diligence-procedurer för att möjliggöra personuppgiftsbiträden belägna i Storbritannien
  • Granska och uppdatera alla befintliga personuppgiftsbiträdesavtal, för att säkerställa att lämpliga klausuler finns på plats.
  • Överväg användningen av bindande företagsregler för att möjliggöra fortsatt överföring av personuppgifter till verksamhetsdelar baserade i Storbritannien
  • Utvärdera vilka överföringsmekanismer som för närvarande används för att skydda personuppgifter och eventuella ytterligare säkerhetsåtgärder som krävs
2023-08-30T16:01:17+02:00
Tobias Granlund

Skrivet av: Tobias Granlund

Tobias arbetar på Secify som IT-jurist inom områdena GDPR, FHL, NIS och generell informationssäkerhet. Han är dataskyddsombud för ett antal företag samt föreläser om GDPR och FHL.

Tobias Granlunds senaste inlägg

NYHETSBREV

Konsulttjänster

Säkerhetstester

Managerade tjänster

Intelligens

Secify

Secify logo vit

Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

Jönköping (huvudkontor)
Östra Storgatan 28c, 553 21 Jönköping

Stockholm
Warfvinges väg 45, 112 51 Stockholm

Halmstad
Tre Hjärtans väg 2, 302 41 Halmstad

Växjö
Storgatan 82A, 352 27, Växjö

Cirklar secifyprofil dekoration
Cookiepolicy

Orgnr: 559078-8062 | 020-66 99 00 | Kontakta oss

Till toppen