Den etterlengtede Brexit-avtalen, som endelig kom på plass julaften, innebærer at Storbritannias status som såkalt “tredjeland” etter personvernforordningen utsettes i en periode på minimum 4 måneder og maksimalt 6 måneder etter avtalen trer i kraft. I denne mellomperioden vil det fortsatt være mulig å overføre personopplysninger til UK, uten at det er snakk om en overføring til tredjeland som det ellers stilles veldig strenge krav til etter GDPR. Samtidig er det klart at UK senest etter 6 måneder vil få status som tredjeland i dataoverføringssammenheng.
Det har hersket usikkerhet om Brexit-avtalen, ut over å løse en rekke handelshindringer, også ville sikre en mer permanent løsning for overføring av personopplysninger etter GDPR. Dette er altså ikke tilfellet. I imidlertid har man i praksis kjøpt seg ekstra tid med avtalen til å forhåpentligvis finne en god løsning.
Håpet til mange er vel at EU- Kommisjonen i mellomperioden vil treffe beslutning om at britisk lovgivning gir et tilstrekkelig beskyttelsesnivå, slik at personopplysninger fortsatt kan overføres fritt fra EØS til UK. Uten en slik beslutning om UK som et “godkjent tredjeland” ligger det an til at man etter mellomperioden må sikre seg et eget overføringsgrunnlag, som for eksempel EUs standard kontrakter (SCC). I tillegg må man i tråd med de strenge kravene etter Schrems II-dommen foreta en nærmere vurdering av beskyttelsesnivået i UK, og eventuelt implementere ekstra beskyttelsestiltak for å verne overførte personopplysninger.
SVWs personvernteam følger saken nøye og vi vil gi en nærmere oppdatering av kravene for dataoverføringer til tredjeland, og av situasjonen som gjelder for UK etter Brexit, på vårt nyttårs kickoff Webinar 15. januar.