Den 28 juni 2021 meddelade Europeiska kommissionen att den beslutat att Storbritannien erbjuder en adekvat skyddsnivå.

Kommissionen har tagit ett beslut om adekvat skyddsnivå enligt GDPR och ett annat beslut om adekvat skyddsnivå enligt brottsbekämpningsdirektivet.

Exportkontroll på personuppgifter

Kommissionen har befogenhet att på förhand godkänna tredjeland så uppgifter får överföras dit, genom att fatta beslut om adekvat skyddsnivå. Tredjeland måste respektera rättsstatsprincipen och tillhandahålla en nivå av dataskydd som väsentligen motsvarar EU-standard. I det här fallet konstaterar kommissionen att Storbritannien efter Brexit helt och hållet implementerat reglerna i GDPR och brottsbekämpningsdirektivet i sitt rättssystem.

När det finns ett beslut om adekvat skyddsnivå, behöver personuppgiftsansvariga och personuppgiftsbiträden som vill exportera personuppgifter med stöd av beslutet, inte själva analysera lagarna i tredjeland. Deras uppgift blir istället att ta del av beslutet för att se om beslutet är förenat med villkor. Om man bryter mot villkoren blir exporten av personuppgifter olaglig. I det här fallet är det bara ett av besluten som har ett villkor. Personuppgifter får inte överföras till Storbritannien med stöd av beslutet om adekvat skyddsnivå enligt GDPR, om de ska användas på den brittiska sidan för migrationskontroll.

Det här är de första adekvansbesluten som automatiskt upphör att gälla efter en förutbestämd tid. Besluten upphör den 27 juni 2025, det vill säga om fyra år. Kommissionen ska fortsätta övervaka utvecklingen i Storbritannien under dessa 4 år och vidta åtgärder om skyddsnivån i landet minskar. Om kommissionen vill förlänga besluten behöver beslutsförfarandet inledas från början.

Skyddet i Storbritannien och CLOUD Act-avtal

Det är också värt att uppmärksamma att kommissionen i pressmeddelandet anser att rättssystemet i Storbritannien har implementerat starka skyddsåtgärder. Kommissionen upplyser att de brittiska underrättelsetjänsterna måste ha förhandsgodkännande från ett oberoende juridiskt organ för att få inhämta underrättelseuppgifter. Vidare påpekar kommissionen att individer som tror att en brittisk underrättelsetjänst olagligt har spionerat på dem kan starta en rättsprocess i en oberoende brittisk domstol. Slutligen noterar kommissionen i ett av besluten att Storbritannien har undertecknat ett CLOUD Act-avtal med USA som väntar på att träda i kraft. Kommissionen bedömer att det i framtiden kan förekomma att personuppgifter som överförts från EU till Storbritannien baserat på beslutet om adekvat skyddsnivå, i ett senare skede lämnas ut till USA. Kommissionen anser dock att detta inte utgör någon större fara, bland annat för att den anser att Cloud Act-avtalet mellan Storbritannien och USA ger ett likvärdigt dataskydd som motsvarar kraven i det så kallade ”paraplyavtalet” mellan EU och USA.

För mer information, se skäl 153-156, på sidorna 45-47 i adekvansbeslutet enligt GDPR.