Miðlun persónuupplýsinga til Bretlands í kjölfar Brexit

Það hefur varla farið fram hjá neinum að sá möguleiki er fyrir hendi að Bretland gangi úr Evrópusambandinu án útgöngusamnings. Sú staða getur haft gríðarlegar afleiðingar í för með sér fyrir þá sem eiga í viðskiptum við Bretland. Að mörgu er að huga í því sambandi og þar á meðal er miðlun á persónuupplýsingum frá Íslandi til Bretlands. Í dag byggir miðlun persónuupplýsinga frá Íslandi til Bretlands á persónuverndarreglugerð ESB sem tryggir að persónuupplýsingar njóta sömu verndar á öllu Evrópska efnahagssvæðinu. Fyrirtæki og stofnanir hafa því hingað til ekki þurft að huga sérstaklega að miðlun persónuupplýsinga til Bretlands svo miðlunin teljist lögmæt.

Útganga Bretlands úr ESB án samnings mun hins vegar, að öllu óbreyttu, hafa þær afleiðingar að Bretland mun teljast sem svokallað þriðja ríki og verður miðlun þangað því óheimil nema viðkomandi fyrirtæki eða stofnun, sem flytja vill persónuupplýsingar þangað, grípi til sérstakra ráðstafana. Þær verndarráðstafanir sem hægt er að grípa til eru nokkrar og fer það eftir starfsemi og eðli aðila hvaða verndarráðstöfun á best við hverju sinni, en jafnframt skiptir máli um hvers konar miðlun persónuupplýsinga er að ræða.

Þær verndarráðstafanir sem koma helst til greina eru í fyrsta lagi svokallaðir staðlaðir samningsskilmálar sem hafa verið samþykktir af framkvæmdastjórn ESB. Notkun þeirra felur það í sér að íslenska fyrirtækið eða stofnunin sem vill flytja upplýsingar til Bretlands þarf að gera skriflegan samning við móttakanda upplýsinganna í Bretlandi sem byggir á þessum stöðluðu samningsskilmálum. Í öðru lagi koma til greina svokallaðar bindandi fyrirtækjareglur ef um miðlun er að ræða milli félaga í sömu samstæðu. Bindandi fyrirtækjareglur fela í sér samning milli félaganna í samstæðunni þar sem samið er um það hvernig skuli vinna með persónuupplýsingar. Áður en hægt er að byggja miðlun á slíkum reglum þarf Persónuvernd hins vegar fyrst að samþykkja þær. Í þriðja lagi getur íslenska fyrirtækið eða stofnunin óskað eftir samþykki fyrir miðluninni frá þeim einstaklingum sem viðkomandi persónuupplýsingar tilheyra. Samþykkja verður miðlunina sérstaklega og ekki er fullnægjandi að bæta við ákvæði í viðskiptaskilmála auk þess sem einstaklingarnir verða að eiga raunverulegt val um hvort þeir samþykkja miðlunina eða ekki svo samþykkið teljist gilt. Í fjórða lagi getur miðlun í ákveðnum tilvikum jafnframt talist nauðsynleg á grundvelli samnings við viðkomandi einstakling.

Að öllu óbreyttu mun Bretland ganga úr ESB án útgöngusamnings þann 29. mars næstkomandi. Fyrir þann tíma er mikilvægt að íslensk fyrirtæki og stofnanir kortleggi hvort verið sé að miðla einhverjum persónuupplýsingum til Bretlands. Í því sambandi þarf að hafa í huga að það eitt að veita aðila í Bretlandi aðgang að persónuupplýsingum getur falið í sér miðlun. Það sama á við ef upplýsingar eru hýstar í Bretlandi.

Þegar slík kortlagning hefur átt sér stað þarf að ákveða til hvaða verndarráðstöfunar eigi að grípa. Með hliðsjón af því hversu knappur tími er til stefnu er mikilvægt að velja þá verndarráðstöfun sem raunhæft er að innleiða á stuttum tíma, en líklegt er að staðlaðir samningsskilmálar eigi þar oft best við. Þá þarf að tryggja að einstaklingar séu upplýstir um að upplýsingum þeirra kunni að vera miðlað til Bretlands og á hvaða grundvelli sú miðlun á sér stað. Það má því einnig búast við því að uppfærsla á persónuverndarstefnum verði nauðsynleg.

Vert er að hafa í huga að ólögmæt miðlun persónuupplýsinga utan EES-svæðisins telst alvarlegt brot á persónuverndarlögum. Slík brot geta varðað háaum sektum, allt að 2,7 milljörðum íslenskra króna eða 4% af árlegri heildarveltu félags á heimsvísu. Það er því full ástæða til að fylgjast vel með framþróun mála í Bretlandi og grípa til nauðsynlegra ráðstafana svo ekki þurfi að stöðva alla miðlun persónuupplýsinga til Bretlands fari svo að Bretland gangi úr ESB án útgöngusamnings í lok marsmánaðar.