En brexit uten avtale kan gjøre overføring av personopplysninger til Storbritannia forbudt.

GDPR forbyr i utgangspunktet overføring av personopplysninger ut av EØS-området. For norske virksomheter som bruker leverandører i Storbritannia eller som har samarbeidspartnere i Storbritannia, kan brexit derfor innebære at overføring av personopplysninger til disse blir ulovlig. For å gjøre dette lovlig, må man etablere et overføringsgrunnlag. Her beskriver vi alternativene:

  1. At EU-kommisjonen har anerkjent at et land har egnet beskyttelsesnivå for personopplysninger. Dersom Storbritannia forlater EU uten noen avtale, vil det ikke umiddelbart foreligge noen slik annerkjennelse av Storbritannia. Norske virksomheter kan derfor ikke belage seg på dette alternativet før EU-kommisjonen eventuelt anerkjenner Storbritannia som et tredjeland med egnet personvern.
  2. At det norske selskapet inngår Standard Contractual Clauses (også kalt “Model Contracts”) med mottakerselskapet i Storbritannia. Formålet med standardkontrakten er å sikre at overføringen har tilstrekkelig beskyttelsesnivå selv om det skjer til et land utenfor EØS, og selv om landet ikke er anerkjent av EU-kommisjonen.

For norske virksomheter som retter sine tjenester mot det britiske markedet, vil man etter en eventuell brexit uten avtale måtte forholde seg til den nye britiske personopplysningsloven UK GDPR. Myndighetene har varslet at UK GDPR i stor grad vil være samsvarende med EUs GDPR, men det kan likevel være forskjeller. Norske virksomheter med britiske kunder bør derfor sette seg inn i hva denne loven innebærer.

Det felleseuropeiske datatilsynet European Data Protection Board (EDPB), det engelske datatilsynet Information Commissioner’s Office (ICO) og det norske Datatilsynet har publisert veiledninger om virkningene av Storbritannias fratredelse i EU.

Tilbake til samleside om konsekvenser av “no deal”-brexit