Efter Storbritanniens utträde ur EU har många organisationer undrat vilken inverkan Brexit kommer att ha på GDPR och vilka åtgärder som bör vidtas för att följa nya lagar och förordningar.
När dataskyddsförordningen trädde i kraft den 25 maj 2018 var det den största förändringen av dataskyddslagstiftningen på 20 år. Lagstiftningen utformades för att standardisera dataskyddsreglerna i hela EU och för att erkänna individers rättigheter när det gäller användningen av deras personuppgifter.
Organisationer har ägnat mycket tid och kraft åt att förbättra dataskyddsprocesserna och genomföra nya åtgärder för att följa den viktiga lagstiftningen under de senaste två åren.
Detta engagemang för dataskydd har inte varit förgäves, eftersom många av de åtgärder som vidtagits kommer att förbli relevanta och inte kommer att förändra det sätt på vilket brittiska företag behandlar uppgifter om personer som befinner sig i landet.
Men nu när Storbritannien formellt har lämnat EU måste organisationerna bedöma vilka ändringar som behöver göras för att säkerställa att den relevanta dataskyddslagstiftningen följs.
För att besvara eventuella frågor har vi sammanställt en kortfattad guide som beskriver vad förändringarna kan innebära för ditt företag.
Brexit och GDPR - allt du behöver veta
Kommer GDPR fortfarande att gälla i Storbritannien?
Den1 januari 2021 upphörde EU:s dataskyddsförordning att gälla i Storbritannien eftersom det är en EU-förordning. Om ditt företag är verksamt i Storbritannien måste du dock fortfarande följa den brittiska dataskyddslagstiftningen. Den brittiska regeringen har införlivat GDPR i den brittiska lagstiftningen som UK GDPR.
I praktiken innebär detta att mycket lite har förändrats. Vissa ändringar har gjorts för att återspegla Storbritanniens status utanför EU, men de viktigaste principerna, rättigheterna och skyldigheterna i dataskyddsförordningen förblir desamma och har förankrats i Storbritanniens dataskyddsförordning.
Gäller GDPR fortfarande om ditt företag är verksamt inom Europeiska ekonomiska samarbetsområdet (EES)?
Ja, om ditt företag är verksamt i Europa, erbjuder varor eller tjänster till personer i Europa eller om du övervakar beteendet hos personer i Europa gäller EU:s GDPR fortfarande. Om din organisation har behandlingsverksamhet i både EU och Storbritannien måste du följa både Storbritanniens GDPR och EU:s GDPR.
Hur påverkar Brexit internationella dataöverföringar?
Som en del av det nya handelsavtalet har EU gått med på att skjuta upp överföringsrestriktionerna under en begränsad period på upp till fyra månader, som kan förlängas till sex månader. Denna överbryggningsmekanism kommer att göra det möjligt för personuppgifter att flöda fritt från Europeiska ekonomiska samarbetsområdet (EES) till Storbritannien tills ett beslut om adekvat skyddsnivå har fattats.
Eftersom Storbritannien nu har lämnat EU klassas det som ett "tredje land" i Europa enligt GDPR. Tredjeländer är stater som ligger utanför EU:s GDPR-område. Uppgiftsöverföringar från EU till tredjeländer är föremål för restriktioner om inte Europeiska kommissionen beviljar en status som kallas "adekvat".
Europeiska kommissionen beviljar länder adekvat skyddsnivå om de anses ha en adekvat nivå av dataskydd. Andra länder som EU har beviljat adekvat status är Argentina, Nya Zeeland, Israel och Japan. Om Storbritannien beviljas adekvat status kommer det fria flödet av personuppgifter att fortsätta utan nya begränsningar.
Kommer EU att räcka till för dataöverföringar från Storbritannien?
Ja. Den brittiska regeringen har bekräftat att den under en övergångsperiod kommer att erkänna att EU är tillräckligt för att möjliggöra dataflöden från Storbritannien utan ytterligare överföringsmekanismer.
Behöver ditt företag en europeisk representant?
Om ditt företag erbjuder varor eller tjänster till personer inom EES eller om du övervakar beteendet hos personer inom EES kan du behöva utse en EU-representant. På samma sätt kan du behöva utse en brittisk representant enligt den brittiska dataskyddsförordningen om ditt företag inte är baserat i Storbritannien men du behandlar personuppgifter om brittiska medborgare.
Vad kommer ICO:s roll att vara?
ICO kommer att förbli det oberoende tillsynsorgan som styr Storbritanniens dataskyddslagstiftning. Det kommer dock inte längre att vara en tillsynsmyndighet inom EU, så om du behandlar uppgifter om EU-medborgare måste du ha en utsedd EU-representant. ICO har tydligt förklarat att om du hanterar EU-medborgares uppgifter måste du fortfarande följa dataskyddsförordningen.
Vem kommer du att underrätta om ett dataintrång?
I händelse av ett dataintrång skulle ett brittiskt företag kontakta ICO. Efter Brexit kommer ICO endast att utreda dataskyddsrelaterade incidenter som rör brittiska personer. Om överträdelsen berör flera nationaliteter kommer ICO att inleda en utredning och hantera tillsynsmyndigheterna i varje berört territorium. Om EEG-uppgiftsskyldiga är berörda måste du kontakta de relevanta tillsynsmyndigheterna i EU direkt.
Kommer andra bestämmelser om dataskydd att påverkas?
DPA
Storbritanniens dataskyddslag 2018(DPA 2018) kommer att fortsätta att gälla och kompletterar den brittiska dataskyddsförordningen.
PECR
I Privacy and Electronic Communications Regulations 2003 (PECR) finns regler för marknadsföring, cookies och elektronisk kommunikation. Det är en särskild förordning för Storbritannien som härrör från en EU-lag som kallas eprivacy-direktivet (det finns planer på att ersätta eprivacy-direktivet med ePrivacy-förordningen). PECR kommer därför att finnas kvar och påverkas inte av Storbritanniens utträde ur EU.
NIS
Direktivet om säkerhet i nätverks- och informationssystem(NIS) har också sin grund i EU-lagstiftningen men fastställs i brittisk lagstiftning. De nuvarande reglerna kommer därför att fortsätta att gälla. Om du är en brittisk leverantör av digitala tjänster som erbjuder tjänster i EU kan du dock behöva utse en representant i en av de EU-medlemsstater där du tillhandahåller tjänster.
eIDAS
Förordningen om elektronisk identifiering, autentisering och betrodda tjänster är också en EU-lag, men gäller inte längre i Storbritannien. Den brittiska regeringen har dock sagt att den kommer att införliva eIDAS-reglerna i brittisk lag, så om du är en brittisk tillhandahållare av betrodda tjänster måste du fortfarande följa dessa regler. Om du tillhandahåller tjänster inom EU måste du dessutom följa eIDAS-reglerna i EU:s medlemsstater.
FOIA
Freedom of Information Act 2000 är en del av den brittiska lagstiftningen och kommer att fortsätta att gälla.
EIR
Förordningarna om miljöinformation är fastställda i brittisk lag och kommer att fortsätta att gälla om de inte upphävs eller ändras.
Vilka åtgärder bör företag vidta efter brexit?
Organisationer måste göra en detaljerad översyn av dataskyddet för att bedöma om några ändringar behöver göras. Om ditt företag är baserat i Storbritannien och erbjuder varor och tjänster främst till brittiska kunder behöver du göra mycket lite. Om ni däremot tillhandahåller varor och tjänster till både EU och Storbritannien kan ni behöva göra ändringar. För att säkerställa att den relevanta dataskyddslagstiftningen följs bör din organisation:
- Kartlägg dataflöden för att se till att ditt företag kan följa både den brittiska GDPR och EU:s GDPR.
- Uppdatera register över behandling för att uppfylla kraven i EU:s GDPR och Storbritanniens GDPR.
- Bedöm om det finns en EU-tillsynsmyndighet som nu kommer att kvalificera sig som ledande tillsynsmyndighet.
- Uppdatera planerna för hantering av säkerhetsöverträdelser för att möjliggöra en eventuell anmälan till ICO och EU LSA i händelse av en överträdelse.
- Överväg om ditt företag behöver utse en representant i Storbritannien och/eller EU.
- Uppdatera integritetsmeddelanden för att se till att de beskriver dataflöden och täcker de relevanta kraven i båda lagstiftningarna.
- Ändra befintliga kontrakt och mallar så att de innehåller lämpliga hänvisningar till både den brittiska GDPR och EU:s GDPR.
- Överväg om konsekvensbedömningar av dataskydd och bedömningar av berättigade intressen behöver uppdateras för att följa den brittiska dataskyddsförordningen.
- Se till att det finns lämpliga skyddsåtgärder för gränsöverskridande dataflöden.
- Bedöm om du behöver utse ett separat dataskyddsombud för Storbritannien och EU.
