Brexitavtalet ur GDPR-synvinkel - Återigen en tillfällig lösning

Efter flera turbulenta år av förhandlingar och en växande oro för en avtalslös brexit under de senaste veckorna blev handels- och samarbetsavtalet (”Brexitavtalet”) mellan Storbritannien och EU klart på julafton. 

Brexitavtalet, som ska mildra effekten av britternas utträde ur EU, omfattar inte bara de omstridda frågorna kring fisket i Storbritanniens vatten och försäljning av varor som uppfyller överenskomna ursprungsregler utan tullar och importkvoter i EU, utan även en interimslösning gällande överföring av personuppgifter till Storbritannien.

Innan avtalet gick i hamn hade det från flera håll uppmärksammats att Storbritannien skulle anses som ett tredje land i GDPR:s mening från den 1 januari 2021. Detta hade inneburit att kraven för tredjelandsöverföring i kapitel 5 i GDPR hade gällt även för överföring av personuppgifter från t.ex. Sverige till Storbritannien. I brist på ett beslut från EU-kommissionen om adekvat skyddsnivå i Storbritannien, och om parterna inte hade enats om hur frågan skulle regleras i Brexitavtalet, skulle personuppgifter enbart få överföras till Storbritannien om lämpliga skyddsåtgärder vidtagits (t.ex. ingående av de standardavtalsklausuler som EU-kommissionen har beslutat om). Därtill skulle den som överför personuppgifter till Storbritannien även behöva beakta de rekommendationer som den Europeiska dataskyddsstyrelsen nyligen publicerat och följa den mycket omfattande process som framgår av dessa rekommendationer.

Enligt den aktuella lydelsen av Brexitavtalet kommer en överföring av personuppgifter till Storbritannien att vara möjlig utan särskilda skyddsåtgärder till dess EU-kommissionen fattar beslut om adekvat skydd, dock längst under en övergångsperiod av fyra månader från och med ikraftträdandet av avtalet som förlängs med ytterligare två månader om ingen part invänder. Interimslösningen förutsätter emellertid att Storbritanniens nuvarande dataskyddsrättsliga lagstiftning tillämpas oförändrat och att Storbritannien inte använder sig av egna nationella skyddsåtgärder som avviker från de som anges i kapitel 5 i GDPR utan EU:s godkännande.

I ljuset av EU-domstolens beslut i Schrems II-målet (C-311/18) som fokuserat på konsekvenserna av överföring av personuppgifter till USA och andra tredjeländer, kan liknande argument komma att lyftas av EU-kommissionen på grund av det faktum att Storbritanniens underrättelsetjänster, i likhet med USA:s, förefaller begära ut trafik- och lokaliseringsdata i stor skala. Bedömningen om skyddsnivån i Storbritannien är adekvat eller inte kommer förmodligen inte vara enkel och det finns en betydande risk att övergångsregleringen enbart är att skjuta problemen framför sig. Tydligt är att den som överför personuppgifter till Storbritannien behöver fortsätta att bevaka frågan under våren 2021.

Text av: Carl Näsholm och Anne Geismar