Efter brexit – dataöverföring

Överför du information i digital form (data) mellan ditt företag i Sverige och antingen inom er koncern eller till och från annan part i Storbritannien?

Det är i dagsläget osäkert vilka regler som kommer att gälla efter övergångsperioden, speciellt kring möjligheten att skicka s.k. personlig data. Hur påverkar eventuella förändringar ditt företags verksamhet? Om du använder tredjepartslösning, t.ex. molnleverantör, i Storbritannien, är de anpassade till eventuella hinder för överföringar efter 1 januari 2021?

Grundregeln är att personlig data inte får föras ut ur EU. Förbudet är långt ifrån absolut och det finns vissa undantag från denna grundregel. Det främsta undantaget är om EU-kommissionen bedömer att dataskyddsreglerna i ett land utanför EU säkerställer en adekvat skyddsnivå för personlig integritet som motsvarar EU:s skyddsnivå. I ett sådant fall kan kommissionen ensidigt fatta beslut om att överföring av personlig data till detta land kan göras på samma villkor som inom EU. Enligt utträdesavtalet skall EU-kommissionen i möjligaste mån fatta ett sådant beslut innan slutet på 2020.

Om ett sådant beslut inte skulle vara på plats den 31 december 2020 måste ditt företag säkerställa en annan mekanism för att överföring av personuppgifter till Storbritannien ska vara tillåten. Ett sådant alternativ är att införa standardavstalklausuler i avtalet med mottagaren av personuppgifterna. Det innebär att ditt företag och er motpart behöver teckna ett särskilt avtal med ett förbestämt innehåll som har godkänts av EU-kommissionen.

Se information från EDPB med de standardavtalsklausuler som kan användas

Läs mer om överföring av data till tredjeland hos Datainspektionen