close
Share with your friends

No Deal-Brexit og personvern – vær forberedt

No Deal-Brexit og personvern – vær forberedt

Dersom EU og Storbritannia ikke blir enig om hvordan Storbritannia skal forlate EU, 'krasjer' Storbritannia ut av EU 31. oktober. Dette scenariet, som mange analytikere nå mener er realistisk, kan innebære utfordringer med etterlevelse av bedriftens forpliktelser i personvernforordningen (GDPR).

1000

Kontaktperson

Rozemarijn van der Hilst

Senior Manager

KPMG i Norge

Kontakt

Relatert innhold

Skulle det bli en såkalt No Deal-Brexit, blir Storbritannia et 'tredjeland' i GDPR forstand. Din virksomhet berøres dersom den er etablert i et EØS-land og overfører personopplysninger til en virksomhet i Storbritannia. Dersom en britisk virksomhet har tilgang til personopplysninger som tilhører din virksomhet i Norge, berøres dere også. Du må i begge tilfeller ha på plass såkalte 'nødvendige garantier'. Tanken bak 'nødvendige garantier' er at beskyttelsesnivået som personvernforordningen gir, ikke undergraves ved at personopplysninger behandles utenfor EØS-området.

Personvernforordningen gir flere muligheter for å etablere disse 'nødvendige garantier'. Men, siden det er kort tid til frem til en eventuell No deal-Brexit, er det kun et fåtall realistiske løsninger som forsikrer regeletterlevelse etter 31. oktober. Å være GDPR-compliant er viktig: Brudd på reglene kan føre til et overtredelsesgebyr til inntil 4 prosent av foretakets samlede globale omsetning.

Brexit

Sjekkliste for personvern og No Deal-Brexit:

1. Sjekk om behandling av personvernopplysninger i din virksomhet har noe med Storbritannia å gjøre. Er din virksomhet en del av et internasjonalt konsern som deler HR- eller kundedata? Bruker dere en databehandler som er etablert i Storbritannia?

2. Sjekk om din virksomhet har bindende konsernregler (Binding Corporate Rules, BCR) som er godkjent av en tilsynsmyndighet. Dersom det finnes BCR for din virksomhet, trenger dere i de fleste tilfeller ikke å foreta dere noe.

3. Kartlegg hvordan personvernopplysninger deles, hvem som er behandlingsansvarlig og hvem som er databehandler.

4. Dersom din virksomhet ikke har BCR, kan du muligens bruke EUs standard personvernbestemmelser. Dette er standardiserte avtaler utarbeidet av EU-kommisjonen, som tillater overføringer fra en behandlingsansvarlig i EØS til en behandlingsansvarlig eller databehandler i Storbritannia.

5. Dersom det hverken finnes BCR eller mulighet til å bruke EUs standard personvernbestemmelser (for eksempel fordi du er en databehandler), kan det i noen tilfeller være mulig å overføre personopplysninger basert på en unntaksbestemmelse. Merk at det er svært begrenset adgang til å bruke denne bestemmelsen. Vi anbefaler at du gjør en grundig juridisk vurdering om dette er en passende løsning.

6. Uansett hvilke regler dere har for overføring av persondata, må du oppdatere dokumentasjonen og klargjøre hvilket overføringsgrunnlag som brukes. Husk også å informere kunder og ansatte ved å oppdatere personvernerklæringen.

KPMG kan hjelpe din virksomhet med å kartlegge risikoen ved en No Deal-Brexit og gi råd om hvordan virksomheten kan etterleve GDPR-regelverket.

Ta kontakt

 

Ønsker du tjenester fra KPMG?

 

loading image Be om tilbud