MyFondia VirtuaaliLakimies
12. helmikuuta, 2019

Post Brexit: Miten Brexit muuttaa henkilötietojen siirron vaatimuksia?

Valmistautuminen Britannian EU-eroon aiheuttaa monella tapaa hämmennystä, eikä ihme. Brexitin poliittinen tilanne on edelleen epäselvä. Euroopan komissio on ilmoittanut, että Britannian EU-eroon on varauduttava ottamalla huomioon kaikki mahdolliset skenaariot. Vaikka yhteisymmärrystä erosopimuksesta ei saavutettaisi 29.3.2019 mennessä, Britannia eroaa EU:sta todennäköisesti joka tapauksessa, jolloin 30.3.2019 alkaen Britanniasta tulee ns. kolmas maa.

Mitä Brexit tarkoittaa henkilötietojen siirron näkökulmasta ja mitä toimenpiteitä se käytännössä edellyttää?

EU-jäsenyys turvaa henkilötietojen vapaan liikkuvuuden EU:n jäsenvaltioiden ja EFTA-/ETA-valtioiden välillä. Henkilötietojen siirtäminen Euroopan talousalueen ulkopuolelle on sallittua ainoastaan, jos kyseisessä kolmannessa maassa taataan riittävä tietosuojan taso tai vaihtoehtoisesti henkilötietojen siirrossa noudatetaan EU:n yleisen tietosuoja-asetuksen (”GDPR”) mukaisia lisäsuojatakeita. Jos Britannia eroaa EU:sta ilman erosopimusta, tulee sovellettavaksi GDPR:n 5. luvun mukaiset siirtomekanismit.

Tässä konkreettiset stepit, joiden avulla valmistaudutte Brexitin tuloon:

1.       Vaihtoehto 1.: Britannia eroaa EU:sta 29.3.2019 ilman erosopimusta

  •    Kartoittakaa yrityksenne kaikki tietovirrat, joiden yhteydessä tietoja siirretään Britanniaan. Erityisesti miettikää, jatkuuko tietojen siirto 29.3.2019 jälkeen.
  • Jos tietojen siirto Britanniaan jatkuu 29.3.2019 jälkeen, kartoittakaa yrityksellenne sopiva siirtomekanismi. Tarvittaessa kääntykää tässä Fondian asiantuntijan puoleen. Lähtökohtaisesti suosittelemme hyödyntämään EU:n komission mallisopimuslausekkeita.

2.       Vaihtoehto 2.: Erosopimus saadaan voimaan 29.3.2019 mennessä

  • Jos erosopimus saavutetaan 29.3.2019 mennessä, alkaa tästä siirtymäaika. EU-lainsäädäntö (mukaan lukien GDPR) on sovellettavaa oikeutta siirtymäkauden loppuun eli 31.12.2020 saakka. Henkilötietoja voidaan siirtää turvallisesti Britanniaan siirtymäkauden aikana kuten tähänkin asti.
  • Siirtymäajan jälkeen EU-lainsäädäntöä ei enää sovelleta. Tällöin on mahdollista, että Euroopan komissio antaa päätöksen Britannian tietosuojatason riittävyydestä (ns. adequacy decision) siirtymäkauden loppuun mennessä, jolloin henkilötietojen siirto Britanniaan on turvattu. Aikataulu komission puolelta on epäselvä, ja kokemusta on siitä, että päätöksenteko venyy. Esimerkiksi Israelin osalta päätöksentekoprosessi kesti yhteensä 42 kuukautta. Tästä syystä yritysten on hyvä varautua muiden GDPR 5. luvun mukaisten lisäsuojatakeiden, kuten komission mallilausekkeiden, soveltamiseen.

Mainittakoon, että Britanniassa on jo erinomaisesti ja hyvissä ajoin varauduttu Brexitin tuloon GDPR:n ja henkilötietojen siirron osalta. Britannia on yksi niistä harvoista jäsenvaltioista, jotka saivat oman kansallisen tietosuojalain (Data Protection Act 2018) voimaan jo toukokuussa 2018, yhtä aikaa GDPR:n kanssa.

Lisäksi todettakoon, että vaikka erosopimukseen ei päästäisi, voi komission päätös (adequacy decision) astua voimaan myöhemmin. Emme suosittele jättämään mitään komission mahdollisen myöhemmin päätöksenteon varaan siitä syystä, että päätöksentekoprosessi voi venyä eikä aikataulusta ole tässä vaiheessa tietoa.