Brexit og miðlun persónuupplýsinga
Samkvæmt þeim upplýsingum sem nú liggja fyrir er útganga Breta úr Evrópusambandinu (ESB) áætluð 31. október. Mikil óvissa ríkir þó um framvinduna og þá aðallega hvort Bretar gangi úr sambandinu með eða án samnings.
Um leið getur það haft mikla þýðingu fyrir fyrirtæki, stofnanir og aðra ábyrgðaraðila sem miðla persónuupplýsingum til Bretlands hvort samningur náist á milli ESB og Bretlands um útgönguna. Hér á eftir er stutt yfirlit yfir þrenns konar aðstæður sem geta myndast eftir 31. október næstkomandi og hvaða afleiðingar hverjar þeirra hafa á miðlun persónuupplýsinga til Bretlands.
1. Samningur næst við ESB fyrir 31. október 2019
Ef samningur næst við ESB fyrir 31. október 2019 munu núgildandi reglur um miðlun persónuupplýsinga gilda áfram, á meðan á aðlögunartíma til 31. desember 2020 stendur. Það er að segja, miðlun persónuupplýsinga til Bretlands fylgir sömu skilyrðum og til ESB- og EES-ríkja, og þitt fyrirtæki eða stofnun þarf ekki að gera neinar ráðstafanir umfram það sem gilt hefur fram til þessa.
Samningurinn, eins og hann lítur út í dag, miðast við að á meðan á aðlögunartímanum standi verði hægt að semja um staðfestingu Bretlands sem öruggs þriðja ríkis gagnvart ESB- og EES-ríkjum (e. adequacy decision). Gangi þetta eftir mun miðlun persónuupplýsinga til Bretlands að aðlögunartímanum loknum byggja á þeim grundvelli og mun miðlun upplýsinga frá Íslandi til Bretlands fara fram með sambærilegum hætti og gerist í dag.
2. Bretland hættir við útgöngu úr ESB
Evrópudómstóllinn staðfesti þann 10. desember 2018 að Bretland gæti einhliða stöðvað Brexit-ferlið. Ef svo fer heldur Bretland stöðu sinni sem ESB-aðildarríki og miðlun persónuupplýsinga getur farið fram eins og verið hefur hingað til.
3. Enginn samningur næst við ESB fyrir 31. október 2019, svokallað „hart Brexit“
Náist ekki samningur á milli ESB og Bretlands fyrir 31. október 2019, og hafi Bretland ekki heldur dregið Brexit til baka, á Bretland frá 1. nóvember 2019 ekki lengur aðild að ESB og telst því svokallað þriðja ríki þegar kemur að miðlun persónuupplýsinga þangað frá ESB- og EES-ríkjum.
Það þýðir að einungis verður mögulegt að miðla persónuupplýsingum til Bretlands að því gefnu að þú hafir heimild fyrir miðluninni samkvæmt ákvæðum V. kafla almennu persónuverndarreglugerðarinnar. Þann 12. febrúar 2019 samþykkti Evrópska persónuverndarráðið leiðbeiningar um hvernig miðlun persónuupplýsinga til Bretlands skuli háttað við þær aðstæður. Sjá leiðbeiningar Evrópska persónuverndarráðsins hér.
Á vefsíðu Persónuverndar er einnig að finna upplýsingar um miðlun persónuupplýsinga úr landi.
Hvað þarft þú að gera núna?
Ef þú miðlar persónuupplýsingum til Bretlands þarft þú, í stuttu máli:
· Að kortleggja hvaða persónuupplýsingum þú miðlar til Bretlands og í hvaða samhengi (á miðlunin sér stað til ábyrgðaraðila eða vinnsluaðila og er fyrirtækið þitt hluti af stærri heild?).
· Komast að því hvort og þá hvaða heimild fyrir miðluninni eigi við, ef Bretland verður óöruggt þriðja ríki frá og með 1. nóvember 2019.
· Ganga frá fyrirkomulagi sem tryggir heimild fyrir miðlun persónuupplýsinga til Bretlands fyrir 1. nóvember 2019. Ef ekki er gripið til viðeigandi ráðstafana fyrir þann tíma telst miðlunin óheimil frá og með þeim degi.
· Uppfæra innri og ytri upplýsingagjöf með tilliti til þess að upplýsingum verði framvegis miðlað til Bretlands sem þriðja ríkis.