Med det forestående Brexit og et eventuelt ”no deal-scenarie” er der en stor risiko for, at Storbritannien ikke vil være et medlemsland i EU ret meget længere.

Da det også efter Brexit er nødvendigt for mange personer og virksomheder at overføre personoplysninger fra EU til Storbritannien, er spørgsmålet, hvordan man skal forholde sig.

Denne artikel forsøger i et GDPR-perspektiv at belyse retstilstanden i forhold til de forskellige Brexit-scenarier.

Den 31. oktober 2019 forlader Storbritannien EU. Det store spørgsmål er, om vi får et ”deal-scenarie” eller et ”no deal-scenarie”. Storbritannien skal inden den 31. oktober 2019 afgøre, om de vil acceptere den udtrædelsesaftale. Aftalen er udarbejdet, således at borgere og virksomheder i en overgangsperiode, der foreløbigt gælder til den 31/12 2020, stadig vil være underlagt EU’s regler. Herunder databeskyttelsesforordningen.

Hvis udtrædelsesaftalen ikke accepteres inden den 31. oktober 2019, forlader Storbritannien EU uden en overgangsperiode og uden samarbejds- og handelsaftaler.

For så vidt angår reglerne i databeskyttelsesforordningen vil Storbritannien blive et såkaldt tredjeland, hvis Storbritannien forlader EU uden en aftale. Det har stor betydning, når virksomheder i EU skal overføre personoplysninger til Storbritannien.

Det betyder, at overførsel af personoplysninger til Storbritannien kun kan ske, såfremt nogle helt særlige betingelser i databeskyttelsesforordningen er opfyldt.

Hvis Storbritannien herimod forlader EU med en aftale, betyder det, at man i overgangsperioden på samme måde som i dag kan overføre personoplysninger til Storbritannien uden yderligere overførselsgrundlag.

Personoplysninger til Storbritannien

Når man skal overføre personoplysninger til et tredjeland, skal man have et overførselsgrundlag.

Det første overførselsgrundlag man kan anvende ved overførsel af personoplysninger til tredjelande er, hvis EU-kommissionen har fastslået, at det pågældende tredjeland er tilstrækkeligt sikkert.

EU-kommissionen foretager regelmæssige gennemgange af sine afgørelser om, at et tredjeland har et tilstrækkeligt beskyttelsesniveau, og det anbefales derfor, at du eller din virksomhed orienterer sig på EU-Kommissionens hjemmeside.

Her kan du finde en opdateret status over de tredjelande, områder i tredjelande og sektorer i tredjelande, hvor EU-Kommissionen har fastslået, at beskyttelsesniveauet er tilstrækkeligt sikkert.

Det formodes, at EU-kommissionen vil fastslå, at Storbritannien har et tilstrækkeligt beskyttelsesniveau og dermed er et ”sikkert tredjeland”, hvor der så kan ske overførsel af personoplysninger, uden at der kræves en specifik godkendelse.

Det vil dog ikke være tilfældet til at begynde med, hvis Storbritannien forlader EU uden en aftale, og det er derfor vigtigt, at du eller din virksomhed har klargjort et andet overførselsgrundlag i tilfælde af et hårdt Brexit (”no-deal-scenarie”).

Databeskyttelsesforordningens artikel 49

Det følger af databeskyttelsesforordningen, at overførsel af personoplysninger kan ske til tredjelande, hvis landet har givet de fornødne garantier. Det betinges at rettighederne, kan håndhæves, og at effektive retsmidler for registrerede er tilgængelige.

Disse overførselsgrundlag er oplistet i databeskyttelsesforordningens artikel 46, og som eksempler kan nævnes bindende virksomhedsregler, EU-kommissionens standardbestemmelser, adfærdskodekser og certificeringsmekanismer.

Herudover følger der en række særlige overførselsgrundlag af databeskyttelsesforordningens artikel 49. Denne bestemmelse giver mulighed for at overføre personoplysninger i undtagelsesvise særlige situationer, hvor overførslen ikke kan støttes på, at tredjelandet har et tilstrækkeligt beskyttelsesniveau, eller at de fornødne garantier er sikret. Undtagelserne kan således kun benyttes i et begrænset omfang.

Som et særligt overførselsgrundlag kan eksempelvis nævnes det tilfælde – forudsat at det ikke er en offentlig myndighed, der skal overføre personoplysninger – at den registrerede udtrykkeligt giver sit samtykke til den foreslåede overførsel efter at være blevet informeret om de mulige risici, som sådanne overførsler kan medføre for den registrerede på grund af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier.

Det er vigtigt at bemærke, at det foruden reglerne om, at der skal være et overførselsgrundlag, er et krav, at de øvrige regler i databeskyttelsesforordningen overholdes, herunder reglerne om lovgrundlag, formål og dataminimering.

Hvis du vil læse mere om reglerne om overførsel af personoplysninger til Storbritannien, kan du læse Datatilsynets vejledning om overførsel af personoplysninger til tredjelande.

Vejledningen er i juni 2019 blevet opdateret på baggrund af de nye vejledninger og praksis fra henholdsvis Det Europæiske Databeskyttelsesråd og EU-Kommissionen.

Hvis du er i tvivl om, hvilket overførselsgrundlag din virksomhed skal anvende til overførsel af personoplysninger til Storbritannien i tilfælde af et hårdt Brexit, står CLEMENS Advokatfirmas GDPR-team altid til rådighed med kompetent sparring og rådgivning, ligesom de selvfølgelig også kan bistå med anden persondataretlig rådgivning.