Brexitin ympärillä on kuohunut viime aikoina, eikä tällä hetkellä ole varmuutta, toteutuuko Brexit ja minkälaisin ehdoin. Tämänhetkisen tiedon mukaan Iso-Britannian EU-ero astuu voimaan 29.3.2019. Jos EU ja Britannia pääsevät yhteisymmärrykseen erosopimuksesta, Britannian noudattaisi EU:n lainsäädäntöä ja olisi osana sisämarkkinoita sovitun siirtymäajan eli vuoden 2020 loppuun saakka. Siirtymäkausi ei kuitenkaan voi alkaa, jos erosopimusta ei saada aikaiseksi ennen 29.3.2019. EU-lainsäädännön soveltaminen lakkaisi Britanniassa välittömästi 30.3.2019, ja Britanniasta tulisi EU:n ulkopuolinen maa.

Henkilötietojen siirto halutaan turvata myös Brexitin jälkeen

Brexitin vaikutus tietosuojaan ja henkilötietojen siirtoon on herättänyt keskustelua. Brexit-neuvotteluissa tietosuojaa on pidetty erityisen tärkeänä asiana ja sen merkitystä on korostettu.  Molempien osapuolten intressinä on varmistaa, että tietovirrat kulkevat jatkossakin sujuvasti, ja osapuolet ovat sitoutuneet varmistamaan korkeatasoisen henkilötietojen suojan myös Brexitin jälkeen. Tällä hetkellä Britannia noudattaa toukokuussa voimaan tullutta tietosuoja-asetusta (GDPR). Lisäksi Britanniassa on voimassa tietosuoja-asetusta täydentävä kansallinen tietosuojalaki (Data Protection Act 2018).

Brexit toteutuessa Iso-Britanniasta tulee EU:n ulkopuolinen maa ja huomiotavaksi tulevat velvoitteet, jotka koskevat tietojen siirtämistä EU:n ulkopuolelle. Tietosuoja-asetuksen mukaan henkilötietoja voidaan siirtää EU:n ulkopuolelle, jos kyseisessä maassa taataan Euroopan komission mukaan tietosuojan riittävä taso tai tietyillä muilla edellytyksillä. Brexit-sopimuksen luonnoksessa on hahmoteltu, että siirtymäkauden jälkeen Iso-Britannia jatkaisi tietosuoja-asetuksen soveltamista, kunnes EU antaisi päätöksen, että Britannian tietosuojalainsäädäntö takaa riittävän suojan henkilötietojen käsittelylle. Tällöin henkilötietojen siirtäminen Iso-Britannian ja EU:n välillä ei tämänhetkisten tietojen perusteella edellyttäisi suurempia lisävelvoitteita verrattuna nykytilaan.

Brexit voi lisätä velvoitteita tietojen siirtoon

Mikäli komissio ei anna tietosuojan riittävyyttä koskevaa päätöstä Iso-Britannian osalta, on Brexitin jälkeen henkilötietojen siirrossa Britanniaan noudatettava tietosuoja-asetuksen muita edellytyksiä siirrolle. Poikkeusperuste henkilötietojen siirrolle EU:n ulkopuolelle on esimerkiksi henkilön yksiselitteinen suostumus. Henkilötietoja voidaan siirtää EU:n ulkopuolelle myös, jos sille on laissa mainittu poikkeusperuste. Lisäksi henkilötietoja on mahdollista siirtää sopimuksella, jossa käytetään komission vahvistamia mallisopimuslausekkeita. Vastaavia lausekkeita tulee tälläkin hetkellä käyttää siirrettäessä henkilötietoja EU:n ulkopuolisiin maihin, joiden osalta komissio ei ole antanut tietosuojan riittävyyttä koskevaa päätöstä.

Teksti ja lisätiedot:

Ville Kukkonen, Associate, puh. +358 40 745 6784, [email protected]

Markus Myhrberg, Partner, puh. +358 40 505 5343, [email protected]

Petra Lahtinen, Junior Associate, puh. +358 40 589 4402, [email protected] 

Tutustu tietosuojapraktiikkaamme >>