Foreløpig fortsatt fri overføring av personopplysninger til Storbritannia etter "Brexit"

05.01.2021

«Brexit» har medført en rekke spørsmål, blant annet hvordan personopplysninger kan overføres fra Norge til Storbritannia. Hovedregelen nå som Storbritannia er ute av EU er nemlig at personopplysninger ikke kan overføres dit, fordi Storbritannia per definisjon er å anse som en tredjestat. Regjeringen har derfor vedtatt en ny, midlertidig forskrift som sier at overføring av personopplysninger fra Norge til Storbritannia kan fortsette som før, i en overgangsperiode etter «Brexit». 

Etter GDPR må virksomheter ha et lovlig grunnlag for å kunne overføre personopplysninger til andre land. For land som er med i EØS kan personopplysninger overføres fritt. Land som ikke er med i EØS regnes som tredjestater, og hovedregelen er at personopplysninger ikke kan overføres til tredjeland. Dersom overføring likevel skal skje må man ha et godkjent overføringsgrunnlag. Det finnes overføringsgrunnlag som kan brukes for tredjestater, men disse er svært strenge og ressurskrevende å benytte. For å unngå at virksomheter må bruke ekstra ressurser på overføring av personopplysninger til Storbritannia post «Brexit», avtalte EU og Storbritannia den 24. desember 2020 at Storbritannia ikke skal anses som en tredjestat slik at overføringer skal kunne fortsette som før, begrenset til en overgangsperiode på opptil et halvt år. Kommunal- og moderniseringsdepartementet har nå vedtatt en midlertidig forskrift som gjør unntaket til norsk rett.

Håpet på lang sikt er at EU-kommisjonen vil gi en adekvansbeslutning for Storbritannia. En adekvansbeslutning innebærer at overføringer av personopplysninger kan fortsette med beslutningen som lovlig overføringsgrunnlag, men uten den tidsbegrensningen som gjelder i forskriften. For at Storbritannia skal få en adekvansbeslutning må beskyttelsesnivået deres for personopplysninger være så godt at EU-kommisjonen godkjenner det.

Konklusjonen er at virksomheter som overfører personopplysninger til Storbritannia, ikke trenger å foreta seg noe - enda.

Les Datatilsynets oppsummering av den nye forskriften her.