Eitt af þeim nýmælum er fólust í hinni almennu persónuverndarreglugerð Evrópusambandsins (GDPR) varðar gildissvið reglugerðarinnar, en hún gildir að vissu marki um vinnslu ábyrgðar- og vinnsluaðila persónuupplýsinga, sem ekki hafa staðfestu í Evrópusambandinu eða á Evrópska efnahagssvæðinu. Þannig gildir reglugerðin um vinnslu persónuupplýsinga á vegum fyrirtækja sem bjóða einstaklingum á svæðinu vöru og þjónustu, jafnvel þó slíkt sé ekki gert gegn gjaldi. Jafnframt gildir reglugerðin þegar slíkir aðilar hafa eftirlit með hegðun einstaklinga sem staddir eru á svæðinu. Undir fyrrnefnda atriðið fellur það þegar alþjóðleg fyrirtæki beina tilboðum um vöru og þjónustu gegnum netið til einstaklinga á svæðinu. Skylda þessi getur náð hvort heldur sem er til ábyrgðaraðila vinnslu eða til vinnsluaðila.

Þegar reglugerðin tekur til vinnslu vegna þeirra fyrirmæla sem hér var lýst, ber viðkomandi aðila í vissum tilvikum að tilnefna skriflega fulltrúa sinn innan svæðisins. Mörg alþjóðleg fyrirtæki hafa fram til þessa haft starfsstöð í Bretlandi og því hafa þau ekki verið skyldug að tilnefna fulltrúa innan Evrópska efnahagssvæðisins. Breyting hefur nú orðið á þessu.

Brotthvarf Breta úr Evrópusambandinu hafði í för með sér að sett voru í Bretlandi lög um persónuvernd, sem munu að mestu samhljóða almennu persónuverndarreglugerðinni. Bresk lög kveða nú á um að ábyrgðar- og vinnsluaðilar vinnslu persónuupplýsinga sem ekki hafa staðfestu í Bretlandi, þurfi að tilnefna fulltrúa gagnvart persónuverndaryfirvöldum. Þessi skylda gildir óháð samningi Breta við Evrópusambandið, óháð því samkomulagi sem gert var fyrir síðustu áramót milli Breta, Íslands og Evrópusambandsins um heimild til miðlunar persónuupplýsinga og óháð því hvort Evrópusambandið muni í framtíðinni taka ákvörðun um hvort Bretland telst veita persónuupplýsingum fullnægjandi vernd.

Íslensk fyrirtæki sem ekki eru með staðfestu í Bretlandi þurfa með sama hætti að taka til athugunar hvort þeim sé skylt að tilefna slíkan fulltrúa.

Vegna útgöngu Bretlands úr Evrópusambandinu um síðustu áramót þurfa þau alþjóðlegu fyrirtæki sem ekki hafa starfsstöð í Bretlandi að tilnefna fulltrúa í Bretlandi (e. UK Representative). Meginhlutverk fulltrúans er að koma fram fyrir hönd viðkomandi ábyrgðar- eða vinnsluaðila gagnvart bresku persónuverndarstofnuninni, Information Commissioner’s Office (ICO). Íslensk fyrirtæki sem ekki eru með staðfestu í Bretlandi þurfa með sama hætti að taka til athugunar hvort þeim sé skylt að tilefna slíkan fulltrúa.

Af upplýsingum um hina nýju bresku löggjöf má ráða að kröfurnar um fulltrúa í Bretlandi eigi ekki við um vinnslu opinberra aðila. Krafan nær hins vegar til annarra þeirra sem ekki hafa neina staðfestu eða starfsemi í Bretlandi, en vinna persónuupplýsingar um breska aðila með þeim hætti að þeir annaðhvort hafa eftirlit með hegðun þeirra innan Bretlands eða beint er til þeirra tilboðum um vöru eða þjónustu.

Undanþegnir skyldu til að tilnefna fulltrúa eru þeir sem vinna persónuupplýsingar í einstök skipti án þess að vinnslan hafi í för með sér sérstaka áhættu varðandi réttindi hins skráða og án þess að taka í miklum mæli til hinna sérstöku flokka persónuupplýsinga (viðkvæmar persónuupplýsingar). Í framkvæmd hefur þetta þá þýðingu að íslenskir aðilar, bæði ábyrgðaraðilar og vinnsluaðilar, sem að jafnaði vinna persónuupplýsingar um breska einstaklinga án þess að hafa þar staðfestu, skulu tilnefna fulltrúa. Slíkt getur meðal annars átt við í þeim tilfellum þegar íslenskt fyrirtæki hefur ekki starfsstöð í Bretlandi en er þar með fastan viðskiptamannahóp. Fyrirtæki í þeirri stöðu ættu að kanna nánar hvort skyldan á við um þá.

Höfundur er lögmaður og meðeigandi hjá LEX.