Upplýsingar til fyrirtækja á Íslandi vegna Brexit
Breska persónuverndarstofnunin (ICO) gaf nýlega út leiðbeiningar til fyrirtækja og annarra ábyrgðaraðila sem flytja persónuupplýsingar til og frá Bretlandi í tengslum við útgöngu ríkisins úr Evrópusambandinu þann 29. mars næstkomandi.
Breska persónuverndarstofnunin (ICO) gaf nýlega út leiðbeiningar til fyrirtækja og annarra ábyrgðaraðila sem flytja persónuupplýsingar til og frá Bretlandi í tengslum við útgöngu ríkisins úr Evrópusambandinu þann 29. mars næstkomandi. Upplýsingarnar má nálgast á vefsíðu ICO.
Af hálfu ICO kemur fram að evrópska persónuverndarreglugerðin (GDPR) muni áfram verða hluti af breskum landslögum og sömu skyldur og réttindi gilda áfram samkvæmt löggjöfinni. Samkvæmt persónuverndarreglugerðinni skulu persónuupplýsingar flæða frjálst, án hindrana, innan Evrópska efnahagssvæðisins. Eftir útgöngu Breta verður Bretland „óöruggt þriðja ríki“ á meðan ekki liggur fyrir ákvörðun ESB um að ríkið teljist öruggt.
Fyrirtæki sem í dag treysta á flutning persónuupplýsinga á milli Bretlands og Evrópska efnahagssvæðisins geta því þurft að gera tilteknar ráðstafanir eftir útgöngu þeirra. Á meðan ekki liggur fyrir ákvörðun ESB um að Bretland teljist sk. öruggt þriðja ríki geta þurft að vera til staðar staðlaðir samningsskilmálar eða bindandi fyrirtækjareglur svo að flutningurinn til Bretlands teljist lögmætur.
Ef þitt fyrirtæki flytur persónuupplýsingar frá Íslandi til Bretlands með reglubundnum hætti þarf að huga að þessum atriðum tímanlega og leiðbeinir Persónuvernd þeim fyrirtækjum að hafa samband við Persónuvernd í gegnum þjónustuborð stofnunarinnar til að fá nánari upplýsingar.
Hinn 13. desember 2018 gáfu bresk stjórnvöld út yfirlýsingu til viðbótar við áður útgefnar leiðbeiningar ICO varðandi persónuvernd ef ekki næðist samningur fyrir útgöngu Breta úr Evrópusambandinu.
Í yfirlýsingunni kemur fram að ríkisstjórn Bretlands hyggist tryggja að persónuvernd þar í landi verði með sama hætti og verið hefur eftir útgöngu þeirra úr ESB. Útgöngusamningurinn, sem nú hefur verið felldur á breska þinginu, gerði ráð fyrir að persónuverndarreglugerðin yrði áfram hluti af landslögum Bretlands. Þá kemur fram að á næstu vikum verði gefin út reglugerð ásamt nákvæmum leiðbeiningum vegna nauðsynlegra breytinga á persónuverndarreglugerðinni í tengslum við útgöngu Breta úr ESB. Meginbreytingarnar felast í að afmá tilvísanir í stofnanir ESB og verklagsreglur sambandsins, sem glata beinni þýðingu sinni eftir útgönguna.
Með framangreindum breytingum verður gildi persónuverndarreglugerðarinnar í Bretlandi staðfest til bráðabirgða. Bretland mun í kjölfarið viðurkenna öll lönd innan Evrópska efnahagssvæðisins (EES), lönd innan ESB og Gíbraltar, sem örugg þriðju lönd svo flæði gagna og upplýsinga geti haldið áfram frá Bretlandi til annarra landa Evrópu. Bretar munu einnig halda í núgildandi kröfur ESB, þar með talið samkomulag ESB og Bandaríkjanna vegna flutnings persónuupplýsinga frá Evrópu til Bandaríkjanna (EU-US Privacy Shield).
Stöðluð samningsákvæði og bindandi fyrirtækjareglur sem samþykktar hafa verið undir núgildandi persónuverndarlöggjöf og fram að útgöngu Breta þann 29. mars 2019 munu áfram halda gildi sínu. Þeir ábyrgðaraðilar sem staðsettir eru utan Bretlands og falla undir breska persónuverndarlöggjöf munu áfram þurfa að tilnefna fulltrúa í Bretlandi, ef vinnsla þeirra með persónuupplýsingar er af tiltekinni stærðargráðu.
Frekari upplýsingar um reglur og leiðbeiningar bresku ríkisstjórnarinnar.