Hittills har mycket av diskussionerna om förra veckans beslut från EU-domstolen i Schrems II-målet (C-311/18) fokuserat på konsekvenserna vid överföring av personuppgifter till USA och andra tredjeländer. En intressant fråga i sammanhanget är hur Schrems II-målet kommer att påverka överföring av personuppgifter till Storbritannien i samband med att övergångsperioden för Brexit tar slut den 31 december 2020?
Adekvat skyddsnivå
En avgörande fråga för hanteringen av personuppgifter i samband med Brexit är om EU-kommissionen kommer att fatta beslut om adekvat skyddsnivå för Storbritannien innan årsskiftet, eller om Storbritannien istället kommer att betraktas som ett vanligt tredjeland för vilket det krävs en laglig grund för överföring av personuppgifter.
EU-domstolens beslut om att Privacy Shield ogiltigförklarats baserades främst på oron för amerikanska myndigheters omfattande möjligheter till övervakning. Liknande argument kan lyftas fram vid bedömningen om skyddsnivån i Storbritannien är adekvat eller inte, särskilt med tanke på de brittiska myndigheternas befogenheter att avlyssna kommunikation och kräva tillgång till personuppgifter enligt Investigatory Powers Act 2016 (“IPA 2016”).
Standardavtalsklausuler
Enligt EU-domstolens beslut i Schrems II-målet är kommissionens standardavtalsklausuler (“SCC”) fortsatt giltiga. Användningen av SCC kräver dock att personuppgiftsansvariga som vill överföra personuppgifter till Storbritannien gör en bedömning i varje enskilt fall i vilken utsträckning uppgifterna kommer att skyddas i mottagarlandet. Vid denna bedömning ska hänsyn bland annat tas till de relevanta delarna i Storbritanniens rättssystem och huruvida myndigheterna i Storbritannien eventuellt har åtkomst till överförda personuppgifter.
Med tanke på att Schrems II-målet fokuserar på de amerikanska myndigheternas befogenheter att övervaka och få tillgång till personuppgifter, kan liknande argument föras fram avseende de brittiska myndigheternas befogenheter i detta avseende, och särskilt med hänsyn till IPA 2016.
Vad behöver jag göra?
Företag och andra organisationer bör förbereda sig på att Storbritannien inte får ett beslut om adekvat skyddsnivå innan årsskiftet varför överföring av personuppgifter till Storbritannien istället måste, i de fall detta är möjligt, baseras på alternativa mekanismer för tredjelandsöverföringar enligt kapital V i dataskyddsförordningen (“GDPR”).
Med tanke på den ökade osäkerhet som råder avseende SCC bör alla verksamheter särskilt överväga alternativa mekanismer över överföring av personuppgifter till Storbritannien än SCC, som exempelvis bindande företagsbestämmesler (Binding Corporate Rules, “BCR”) enligt artikel 47 i GDPR eller särskilda undantag enligt artikel 49 i GDPR.
Verksamheter som inte har en laglig grund för överföring av personuppgifter till Storbritannien efter årsskifter riskerar höga sanktionsavgifter enligt GDPR.
Du är välkommen att kontakta oss för information och råd i frågor om Schrems II-målet, Brexit och tredjelandsöverföringar.
Läs mer om EU-domstolens beslut i Schrems II-målet här.
Ta del av Investigatory Powers Act 2016, endast tillgänglig på engelska, här.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.