Senaste halvåret har varit händelserikt på personuppgiftsfronten
Sett ur ett GDPR-perspektiv har det gångna halvåret varit minst sagt händelserikt. Utöver EU-domstolens invalidering av Privacy Shield-ramverket, som i korthet föranlett att särskilda överväganden vid personuppgiftsöverföringar till USA bör göras, har ett flertal intressanta beslut fattats av Integritetsskyddsmyndigheten där skadeståndsnivåerna i vissa fall varit påtagliga sett utifrån ett svenskt perspektiv. Den uppmärksamme noterar att Integritetskyddsmyndigheten är det nya namnet för Datainspektionen sedan den 1 januari 2021 (vilket vi skrivit om här). Därutöver är Brexit nu verkställt.
Storbritanniens EU-utträde påverkar även dataskyddsfrågor
Troligen är det få som undgått nyheten att Storbritanniens EU-utträde verkställdes i och med årsskiftet. Uppbrottet blev emellertid aldrig den avtalslösa Brexit som det i viss mån siats om till följd av parternas slutna avtal – Handels- och samarbetsavtal mellan EU och Storbritannien (som finns att tillgå på EU-kommissionens hemsida, se här). Avtalet är av förklarliga skäl omfattande och av relevans för flertalet sektorer. Av förklarliga skäl har även frågor som rör dataskydd och hanteringen i samband med at personuppgifter överförs reglerats i avtalet.
Personuppgiftsöverföring till ”tredjeland” förtjänar alltid eftertanke – viss avvaktan i aktuellt fall
Oavsett kunskapsnivå på dataskyddsområdet bör man vara medveten om att personuppgiftsöverföringar utanför EU/EES (i GDPR benämnt som ”tredjeland”) förtjänar särskild eftertanke innan de vidtas. Samtliga länder inom Storbritannien betraktas i dagsläget till följd av Brexit som s.k. tredjeländer.
I enlighet med huvudrubriken till vår artikel finns däremot skäl att andas ut i dagsläget. Till följd av samarbetsavtalets utformning är lagstiftningen på personuppgiftsområdet i stort oförändrad under en period av sex månader. Flödet av personuppgifter mellan EU och Storbritannien betraktas därför inte som någon tredjelandsöverföring förrän tidigast den 1 juli 2021.
Framtiden i viss mån fortsatt oviss – se därför över era nuvarande policys
Frågan är emellertid vad som händer därefter. Målbilden för många är troligtvis att EU-kommissionen fattar ett beslut som förklarar att Storbritannien uppfyller en ”adekvat skyddsnivå” – en typ av beslut som medför att personuppgiftsöverföringar till sådana länder inte kräver något särskilt tillstånd. Huruvida så faktiskt blir fallet har däremot ifrågasatts. Vissa bedömare menar nämligen att Storbritannien kan få svårigheter med att uppfylla de högt ställda kraven för ett sådant beslut till följd av sin nuvarande övervakningslagstiftning.
Sammanfattningsvis är vår rekommendation att den 1 juli 2021 noteras i kalendern för de som på något sätt har med aktörer i Storbritannien att göra. Eftersom just tredjelandsöverföringar förtjänar särskild eftertanke bör eventuella säkerhetsåtgärder vidtas i god tid före aktuellt datum. På så vis förebygger ni risken för otrevliga överraskningar.