Brexit-kaislikossa suhisee jälleen kiivaasti, kun Iso-Britannia (UK) ja Euroopan unioni (EU) kipuilevat Brexit-järjestelyjen kanssa. Tässä vaiheessa näyttäisi siltä, että enemmän tai vähemmän kaoottinen Brexit tulisi toteutumaan lokakuun 2019 lopussa. Jos UK ja EU eivät pääse sopuun irtautumisen ehdoista, niin kutsuttu ”Hard Brexit” on villeimpien brittipoliitikkojen mukaan myös vaihtoehto. Hard Brexitiä voisi suoraan verrata vastasyntyneen napanuoran leikkaamiseen. Siinä tapauksessa tilanne eron hetkellä UK:lle olisi, kuten kätilö puolivitsikkäästi totesi ko. tilanteessa tyttäreni syntyessä, ”onneksi olkoon, olet nyt omillasi”.

Muiden vaikutusten ohella Hard Brexitillä olisi olennaisia vaikutuksia myös EU:n laajuisiin immateriaalioikeuksiin (kuten tavaramerkit ja desiginit) sekä henkilötietojen käsittelyyn.

EU-tavaramerkit ja yhteisömallit

EU-tavaramerkkien ja yhteisömallien osalta lähtökohtana on, että ne ovat voimassa yhtenäisenä koko EU:n alueella, eli yksinoikeus kattaa aina kaikki EU-maat. UK:n erotessa EU:sta se ei enää luonnollisestikaan ole EU-maa, jolloin kyseisten EU:n laajuisten oikeuksien voimassaolo UK:ssa lakkaa, ja näitä koskevat hakemuksetkin supistuvat koskemaan vain EU:hun jääviä jäsenvaltioita. Samoin sellaiset Madridin järjestelmän mukaiset kansainväliset rekisteröinnit, joissa suoja on haettu kattamaan koko EU:n alueen, eivät enää koske UK:ta. EU:n komissiokin on valveutuneena antanut aiheesta tiedonannon.

Lienee selvää, että tämä voi aiheuttaa harmaita hiuksia niille suomalaisille(kin) yrityksille, joilla on liiketoimintaa UK:ssa, sillä niiden EU:n laajuinen yksinoikeus ei olisi enää voimassa UK:n alueella. Tilanne voisi pahimmillaan johtaa merkittävään kilpailuedun menetykseen, jos paikallinen UK:ssa operoiva kilpailija saisi hankittua yksinoikeuden vaikkapa toisen aiemmin UK:ssa EU-tavaramerkillä suojattuun tavaramerkkiin.  

UK:n hallinto on kuitenkin tiedostanut ongelman ja ohjeistanut, että Brexit-hetkellä voimassa oleville rekisteröidyille EU-tavaramerkeille ja EU-designeille annetaan vastaava UK:n kansallinen rekisteröinti ”minimaalisella hallinnollisella taakalla”. Oikeudet olisivat siis voimassa edelleen saman laajuisina myös UK:ssa, mutta EU-oikeudesta itsenäisenä. Tämä tarkoittaa sitä, että esim. uusimiseen ja valvontaan liittyvät seikat toteutetaan UK:n asianomaisten lakien mukaisesti ja UK:n viranomaisvalvonnassa. Toisaalta oikeudet olisivat myös siirrettävissä ja muuten hyödynnettävissä itsenäisesti. Yrityksen on näin ollen pidettävä tarkempaa kirjaa IPR-portfoliostaan ja portfolion hallinnointi jonkin verran monimutkaistuu.

Jos oikeus sen sijaan on hakemusvaiheessa, edellytetään uuden UK-hakemuksen tekemistä, jos UK halutaan sisällyttää yksinoikeuden kattamaan alueeseen. Tällekin hakemukselle annetaan tosin samat hakemus-, etuoikeus- ym. päivämäärät kuin mitä EU-hakemuksessa, mutta kuten edellä, oikeus olisi sen myöntämisen jälkeen UK:n lainsäädännön alainen.

Vaikka UK:n EU-napanuora katkaistaisiinkin, säilyy UK tavaramerkkien osalta edelleen normaalisti Madridin järjestelmän mukaisessa kansainvälisessä rekisteröintijärjestelmässä. Jos siis yrityksesi liiketoiminnan kansainvälistyessä haluat esim. laajentaa Suomessa rekisteröimäsi tavaramerkin kattamaan muita maita, UK:n osalta on Brexitin jälkeen huomioitava, että rekisteröinti täytyy tehdä EU:lle ja UK:lle erikseen.

Vaikutukset henkilötietojen käsittelyyn

UK:laiset yritykset valmistautuivat varmasti vähintäänkin yhtä suurella pieteetillä lempilapsemme GDPR:n implementointiin kuin EU:hun jäävät valtiot. Oletettavaa on, että sana ”kiitollisuus” kuvaa hyvin sitä tunnetta, joka näiden yritysten johtoportaissa vallitsee, kun tietosuojarumba on aloitettava osittain uudestaan, mikäli EU:n kansalaisten henkilötietoja mielitään vielä Brexitin jälkeen käsitellä.

Henkilötietojen siirto EU-maiden välillä voi tapahtua vapaasti, mutta kun EU-napanuora katkeaa, poistuu myös tämä mahdollisuus. Brexitin myötä UK:sta tulee nimittäin tietosuojamielessä ns. kolmas maa, mikä tarkoittaa sitä, että henkilötietojen siirtoon UK:n alueelle tulee vastaisuudessa olla erityinen, GDPR:n V luvun mukainen peruste. Näistä voi tässä yhteydessä mainita esim. EU-komission päätöksen tietosuojan tason riittävyydestä tai erityisten suojatoimien implementoinnin, kuten komission mallilausekkeet (Standard Contractual Clauses, SCC) tai konserneissa yritystä sitovat säännöt (Binding Corporate Rules, BCR). Näistä ensiksi mainittu, eli komission päätös, ei tosin tule kyseeseen, sillä sellaista ei ole tehty. On vähän jopa huvittavaa, ettei komissio ole tässä parin vuoden aikana saanut aikaiseksi em. päätöstä (esim. pöytälaatikkoon), vaikka UK:n tietosuojaviranomaiset ovat moneen otteeseen toitottaneet, että he jatkavat GDPR:n periaatteiden noudattamista ja heidän kansallinen täydentävä lainsäädäntönsä vastaa tällä hetkellä GDPR:n vaatimuksia (ja osin on vastannut jo aiemmin).

Jos siis yrityksesi käyttää vaikkapa UK:ssa sijaitsevaa palvelinkapasiteettia tai hankkii muita henkilötietojen käsittelyä sisältäviä palveluita, Brexitin toteuduttua pelkkä tietojenkäsittelysopimus (data processing agreement, DPA) palveluntarjoajan kanssa ei enää riitä, vaan ko. palveluntarjoajan kanssa on tehtävä esim. komission mallilausekkeiden mukainen sopimus tietojen siirrosta (jos muita suojatoimia ei ole käytettävissä).

Ei liene kovin kaukaa haettua, että Brexitin toteutuessa UK menettänee vetovoimaansa henkilötietojen käsittelyä sisältävien palveluiden hankintamaana lisääntyneen byrokratian ansiosta. Tällä taas on myös suoria taloudellisia vaikutuksia sekä rekisterinpitäjille (palveluntarjoajan vaihtoon liittyvät kustannukset) että UK:ssa toimiville käsittelijöille (no money, no honey).

Jos yritys kuitenkin haluaa edelleen hankkia henkilötietojen käsittelyä sisältäviä palveluita UK:laiselta toimijalta (ja miksi ei haluaisi, asiantuntemusta ja käyttökelpoista teknologiaa siellä edelleen kuitenkin on), on syytä huomioida, että GDPR:n mukaisten siirrot kolmansiin maihin mahdollistavien suojatoimien tulee olla paikoillaan heti Brexitin hetkellä. Muuten siirto on GDPR:n vastainen ja voi johtaa sanktioihin.

Tietosuojaliitännäisten vaikutusten huomiointi edellyttää toki myös yrityksen sisäisten dokumenttien päivitystä, tarkoittaen esim. tietosuojalausekkeiden päivittämistä siltä osin kuin tietoja siirretään edelleen UK:n alueelle, eli Brexitin jälkeen EU:n ulkopuolelle. Euroopan tietosuojaneuvoston ohjeistus aiheesta on luettavissa täältä.

Brexit-kaislikon suhina todennäköisesti jatkuu lähiaikoina entistä kovempana, joten myös me seuraamme mielenkiinnolla, mitä pusikosta loppujen lopuksi paljastuu.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.