On kulunut yli vuosi siitä, kuin julkaisimme viimeisimmän brexit-prosessia koskevan artikkelimme (englanniksi). On sanomattakin selvää, että moni asia on muuttunut sen jälkeen. Tällä kertaa käsittelemme sitä, mitä brexit merkitsee EU:n yleisen tietosuoja-asetuksen (GDPR:n) kannalta ja kuinka se vaikuttaa Britanniassa ja Euroopassa toimiviin yrityksiin.
Brexit-siirtymäkausi päättyi 31.12.2020. Vaikka EU:n GDPR-asetus ei enää suoraan koskekaan Britanniaa, se vahvistettiin kansalliseksi laiksi tietyillä muutoksilla. Näin varmistettiin, että sitä voidaan soveltaa Britanniassa. Tämä muutettu versio, jota voi kutsua Britannian GDPR:ksi, määrää nyt tietojen käsittelystä Yhdistyneessä kuningaskunnassa. Kuten ICO:n siirtymäkautta koskevissa usein esitetyissä kysymyksissä kerrotaan, muut säännöt, kuten PECR ja NIS, ovat edelleen voimassa Britanniassa.
Mutta mitä tämä tarkoittaa yrityksille? Osborne Clarken hiljattain julkaiseman artikkelin mukaan ”sekä EU:n että Britannian GDPR:llä on oman alueensa ulkopuolelle ulottuvia vaikutuksia, ja yritysten on otettava huomioon vaikutukset, jotka näillä kahdella järjestelmällä on yritysten tiedonsiirtoihin, käsittelyselosteisiin, sopimuksiin, toimintaohjeisiin ja menettelyihin sekä vaatimuksiin, jotka liittyvät EU:n tietosuojaedustajien nimeämiseen”.
Monien yritysten on noudatettava kummankin GDPR:n määräyksiä, koska sekä EU:n että Britannian GDPR-lainsäädännöllä on oman alueen ulkopuolelle ulottuvia vaikutuksia. Jos yrityksellä on toimipaikkoja sekä EU:ssa että Britanniassa, sen on noudatettava kumpaakin lainsäädäntöä. Vaikka EU:n ja Britannian GDPR:t ovatkin pitkälti yhdenmukaisia, ne ovat toisistaan erillisiä ja yritysten on oltava valmiita noudattamaan kummankin tietosuojamääräyksiä.
Yksi Britannian GDPR:n voimaantulon välittömistä vaikutuksista on, että monen organisaation on päivitettävä sopimuksensa ja toimintaohjeensa. Osborne Clarken aihetta koskevan raportin mukaan ”oletuksena on, että ICO hyväksyy aikanaan uudet vakiosopimuslausekkeet, jotka todennäköisesti toistavat tai mukailevat uusia vakiosopimuslausekeluonnoksia, jotka Euroopan komissio julkaisi marraskuussa 2020”.
Kun keskustelu kääntyy uusiin sopimuksiin ja toimintaohjeisiin, paperityö on todennäköisesti ensimmäinen mieleen tuleva asia. Yrityksille, joilla on toimipaikkoja Euroopassa ja Britanniassa, tämä saattaa merkitä paperityön moninkertaistumista, jos nämä asiakirjat täytyy kääntää jokaista yrityksen toimintamaata varten. Juridiikkaan perehtynyt käännöstiimimme on valmis antamaan tukea koko prosessin ajan. Tiimi on käytettävissä ympäri vuorokauden kaikkina päivinä ja antaa tarjouksen tunnin kuluessa.
Eri olosuhteissa yrityksillä saattaa olla muitakin lakisääteisiä vastuita. Lähikuukausina organisaatiot voivat esimerkiksi joutua nimittämään erilliset tietosuojavastaavat EU:ta ja Britanniaa varten. Yritysten täytyy lisäksi varmistaa, että niiden arkistot, tietosuojaselosteet ja sopimukset päivitetään niin, että Britannian asema EU:n ulkopuolella otetaan huomioon.
Brexitiä edeltävinä viikkoina oli paljon epävarmuutta siitä, mitä ilman sopimusta tapahtuva brexit merkitsisi GDPR:n kannalta sekä tietoja EU:n ja Britannian välillä siirtämään joutuvien yritysten kannalta. EU:n täytyy vielä päättää, toteuttaako Britannia riittävän tietosuojatason, mutta EU:n ja Britannian välinen kauppa- ja yhteistyösopimus (TCA) tarjoaa onneksi väliaikaisen ratkaisun, joka antaa EU:lle lisäaikaa päätöksen tekemiseen. Tämä sopimus on käytännössä tehnyt tiedonsiirrosta laillista kuuden kuukauden ajaksi 1.1.2021 alkaen. Kuten DLA Piper totesi EU:n ja Britannian välisiä tiedonsiirtoja koskevassa raportissaan, ”tehdyt sitoumukset yhdessä kauppasopimuksen muodostaman kuuden kuukauden siirtymäkauden kanssa ovat tervetulleita uutisia yrityksille ja antavat todennäköisesti tyydyttävän luottamuksen siihen, että riittävyyden taso ratkaistaan piakkoin”. Toisaalta Britannia on jo vahvistanut, että se katsoo EU:n jäsenmaiden tason olevan riittävä ja tiedonsiirrot voivat jatkua ilman lisämuutoksia. Tämä on hyvä uutinen sekä eurooppalaisille että brittiläisille yrityksille.
Yhteenvetona voidaan todeta, että vaikka EU:n ja Britannian GDPR-säädökset ovat pitkälti samanlaisia, tietosuojakäytännöistä ja -menettelyistä on kuitenkin pidettävä eräitä asioita mielessä. Jos yrityksesi tarvitsee apua oikeudellisten asiakirjojen kääntämisessä, ota meihin yhteyttä. Autamme mielellämme!