EU-UK dataoverførsler i tilfælde af 'hård' Brexit

Skrevet af partner Hans Abildstrøm og advokatfuldmægtig Aleksander B. Abildgaard

Baggrund

Brexit er kilde til stadig flere kontroverser, gnidninger og spørgsmål, ikke bare internt i britisk politik, men også i forholdet mellem Storbritannien og resten af EU, særligt efter det britiske parlament den 15. januar 2019 nedstemte Theresa Mays forslag til en aftale om at forlade Unionen.

Hvis Storbritannien får forhandlet en udtrædelsesaftale på plads inden den 29. marts, som er datoen for Storbritanniens endelige udtræden, vil virksomheder etableret i EU fortsat kunne overføre personoplysninger til modtagere i Storbritannien på dette grundlag.

Må Storbritannien på den anden side forlade EU uden en aftale – en såkaldt ’hård’ Brexit – får det vidtrækkende konsekvenser, også i forhold til persondataretten.

Det Europæiske Databeskyttelsesråd har sidste uge offentliggjort en bekendtgørelse, der redegør for Storbritanniens retsstilling for så vidt angår overførsel af persondata, i tilfælde af en hård Brexit. I dette tilfælde vil Storbritannien således skulle behandles som ethvert andet tredjeland, og i henhold til GDPR er overførsel af persondata – almindelige som følsomme – til modtagere i tredjelande som udgangspunkt ulovlige.

Dette medfører bl.a., at virksomheder etableret i EU med en filial i Storbritannien bør skifte til britiske databehandlingsudbydere, da Det Europæiske Databeskyttelsesråd har gjort det klart, at der ikke vil indtræde nogen overgangsperiode for retsforfølgelsen af ​​overtrædelser af GDPR fra tidspunktet for Storbritanniens udtræden.

Tilstrækkelighedsafgørelse – Storbritannien som ”sikkert tredjeland” og business as usual

Da Storbritannien på nuværende tidspunkt stadig er underlagt GDPR, og da Storbritannien i denne forbindelse har vedtaget deres egen databeskyttelseslov (”the Data Protection Act”), er det dog ikke usandsynligt, at Kommissionen vil anse det britiske databeskyttelsesniveau for fyldestgørende. Det vil betyde, at Storbritannien formentlig kan anerkendes som et sikkert tredjeland ved en såkaldt "afgørelse om tilstrækkelighed", hvilket i GDPR-regi betyder, at Storbritannien vil være at betragte som en EU-medlemsstat.

Kommissionens har netop anerkendt Japan som et sikkert tredjeland - læs mere her.

Hvorvidt Kommissionen ville træffe en sådan beslutning, er imidlertid et politisk spørgsmål, der ikke kan siges noget sikkert om på nuværende tidspunkt.

Andre muligheder – Virksomhederne i EU må selv stille de fornødne garantier

Indtil der eventuelt træffes en afgørelse om anerkendelse af Storbritannien som sikkert tredjeland, må virksomhederne i EU tilpasse deres procedurer for sikringen af de registreredes rettigheder, deres privatlivspolitikker og anden GDPR-retlig dokumentation og behandlingsprocedurer.

De dataansvarlige og deres databehandlere må nemlig kun overføre personoplysninger til en modtager i et ikke-anerkendt tredjeland, hvis vedkommende har givet de fornødne garantier for et vist datasikkerhedsniveau, og på betingelse af, at de registreredes rettigheder kan håndhæves. Sådanne garantier kan blandt andet sikres gennem:

• bindende virksomhedsregler for så vidt angår koncernrelaterede virksomheder imellem,
• standardbestemmelser om databeskyttelse godkendt af Europa-Kommissionen (såkaldte ”EU Model Clauses”), eller
• i enkeltstående tilfælde, og med blandt andet de registreredes samtykke, kan virksomhederne om nødvendigt påberåbe sig de undtagelser, der gælder i særlige tilfælde.

Du kan læse mere herom i Det Europæiske Databeskyttelsesråds bekendtgørelse her.

Vores specialister inden for persondataret står klar til at rådgive om de problemstillinger der kan opstå i tilfælde af et no-deal Brexit.