Næringsliv

Har bedriften din en Brexit-plan?

Anbefaling fra juridisk ekspertise.

Tora Kornelia Sandnes og Hanne Pernille Gulbrandsen i Deloitte Advokatfirma. Foto: Sverre Frugård.

Tora Kornelia Sandnes og Hanne Pernille Gulbrandsen i Deloitte Advokatfirma. Foto: Sverre Frugård.

Artikkel av: Odd Steinar Parr
20. mars 2019 - 10.24

Det hersker for tiden høy usikkerhet rundt Brexit, og hva som vil skje 29. mars.

Status i dag er at EU venter en søknad fra Storbritannia om å utsette fristen etter at det britiske underhuset stilte seg bak statsminister Theresa Mays forslag om å be om en utsettelse av Brexit. Motstanden mot statsministeren og hennes forslag til skilsmisseavtale er fremdeles stor.

Senior manager Hanne Pernille Gulbrandsen og advokatfullmektig Tora Kornelia Sandnes i Deloitte Advokatfirma mener Brexit vil kunne få særlige konsekvenser for virksomheter som overfører eller mottar personopplysninger til og fra Storbritannia.

Tre scenarier

Med personvernøyne trekker duoen overfor Hegnar.no frem tre ulike scenarier basert på utfallet av Brexit.

- Får Storbritannia og EU på plass en avtale innen fristen, eller EU aksepterer en søknad om utsettelse av Brexit, vil Norges forhold til Storbritannia være det samme som i dag og frem til slutten av overgangsperioden, 31. desember 2020. Storbritannia vil da behandles som om landet var EU-medlem, og overføring av personopplysninger fra Norge til Storbritannia vil være det samme som overføring fra Oslo til Stockholm, sier Gulbrandsen.

- Omstendighetene tatt i betraktning, fremstår dette lite sannsynlig. Om det skulle skje, vil imidlertid alt være som i dag, fortsetter hun.

Selv om det britiske parlamentet har slått fast at Storbritannia ikke skal forlate EU uten en avtale, har Frankrikes president Emmanuel Macron uttrykt et ønske om å sende Storbritannia ut av EU uten avtale om landet ikke klarer å komme med en klar, alternativ plan til Brexit.

- Det er dette scenariet som er mest interessant, mener Sandnes.

Et «tredjeland»

Hun påpeker at Storbritannia i et slikt tilfelle vil regnes som et «tredjeland» uten tilstrekkelig beskyttelsesnivå. Dette innebærer at en overføring av personopplysninger kun kan skje dersom det foreligger et gyldig overføringsgrunnlag etter kapittel V i GDPR.

- Når personopplysninger overføres til et land som er etablert utenfor EØS-området, og som derfor ikke er underlagt personvernforordningens regler, gjelder spesielle krav for overføringen. Personopplysningene må behandles på en forsvarlig måte også utenfor EU, fortsetter Sandnes.

- Brexit vil med andre ord kunne gjøre det mer utfordrende å overføre personopplysninger til samarbeidspartnere, eller konserndeltakere. Dette vil for eksempel gjelde virksomheter som har outsourcet sin kundebehandling eller bruker skyleverandører etablert i Storbritannia, skyter Gulbrandsen inn.

- Ettersom Storbritannia ikke har den nødvendige anerkjennelsen fra Europakommisjonen, kan en behandlingsansvarlig eller databehandler kun overføre personopplysninger til en leverandør i Storbritannia dersom det er gitt såkalte «nødvendige garantier», legger hun til.

Sandnes påpeker at Europakommisjonen allerede har utarbeidet to typer standardkontrakter for overføring av personopplysninger mellom to behandlingsansvarlige og for overføring fra en behandlingsansvarlig til databehandler.

- Hvis man som behandlingsansvarlig i Norge bruker disse kontraktene i uendret form, trenger man ikke søke om godkjenning fra Datatilsynet og man vil følgelig ha et grunnlag for overføring av personopplysninger til Storbritannia, sier hun.

Må via Datatilsynet

Ifølge advokatfullmektigene er det derimot ikke utarbeidet en lignende standardkontrakt for databehandlere som overfører personopplysninger til underleverandører i tredjeland. Det betyr at overføring fra en databehandler i Norge til en underleverandør i Storbritannia må skje på et av de andre overføringsgrunnlagene i personvernforordningen.

- Overføring basert på disse grunnlagene krever imidlertid godkjenning fra Datatilsynet, understreker Sandnes.

På grunn av den høye usikkerheten rundt Brexit og hva som vil skje 29. mars 2019, anbefaler advokatfullmektigene at virksomheter allerede nå bør begynne å forberede seg da man ifølge Datatilsynet må påregne lang saksbehandlingstid.

- Virksomheter bør klarlegge forholdet mellom virksomheten og den man overfører personopplysninger til. Videre bør man undersøke hvilket overføringsgrunnlag som er aktuelt med hensyn til Brexit-utfallet og sette i gang med forberedelser i tilfelle Storbritannia likevel må gå ut av EU uten noen avtale, avslutter advokatfullmektigene overfor Hegnar.no.