Hård Brexit vil ændre regler for overførsel af personoplysninger til Storbritannien

En hård Brexit den 31. oktober vil ændre regler for overførsel af personoplysninger til Storbritannien.

Storbritanniens premierminister Boris Johnsons vigtigste mærkesag er at få landet ud af EU den 31. oktober, uanset om der opnås en aftale med EU, den såkaldt hårde Brexit. Hvis det sker, så ændres reglerne for overførsel af personoplysninger til Storbritannien med det samme, og det har betydning for en del danske virksomheder.

Får det konsekvenser for os?

I tilfælde af en hård Brexit er britiske virksomheder ikke længere omfattet af EU’s databeskyttelsesforordning, og der skal derfor vælges et andet grundlag eller regelsæt som ramme for overførsel af personoplysninger til Storbritannien. I daglig tale et overførselsgrundlag.

Det er naturligvis kun aktuelt, hvis I faktisk overfører personoplysninger til Storbritannien. Det gør I sandsynligvis, hvis I handler med Storbritannien eller har værdikæder, hvori britiske virksomheder indgår, f.eks:

  • Er datterselskab af en britisk virksomhed, med hvem I udveksler personoplysninger
  • Bruger en britisk virksomhed som databehandler – eller jeres databehandler bruger en britisk virksomhed som underdatabehandler
  • Er en del af en international koncern, hvis behandling af personoplysninger foregår i Storbritannien.

Hvis I har lavet fortegnelser over jeres behandlingsaktiviteter, så er det her, I undersøger, hvem der står som modtager af personoplysningerne. Inspiration til at udarbejde fortegnelser findes her.

Hvis I ikke ved, om I overfører personoplysninger til Storbritannien, er det absolut på tide at få undersøgt det og lavet de fortegnelser, som er en del af GDPR, samt nedfælde jeres overvejelser og beslutninger om, hvad I gør i tilfælde af en hård Brexit.

Hvordan vælges det rette overførselsgrundlag?

Når EU-regelsættet ikke længere gælder for Storbritannien, skal der som sagt vælges et andet overførselsgrundlag, som i videst muligt omfang sikrer, at der alligevel tages hensyn til de europæiske grundprincipper for beskyttelse af personoplysninger. Eksempler på overførselsgrundlag:

Hvis der er tale om få eller enkeltstående tilfælde af overførsel, er der mulighed for at benytte forskellige undtagelsesordninger, hvilket du også kan læse mere om i Datatilsynets vejledning om tredjelande.

Når I har besluttet jer for et overførselsgrundlag, skal beskrivelserne af jeres nuværende processer og fortegnelser opdateres. Det kan også anbefales at følge med i Datatilsynets udmeldinger om Brexit, f.eks. her eller gå direkte til EU, f.eks. her (på engelsk).

Ved hård Brexit bliver Storbritannien ”tredjeland”. Og hvad er det?

Som medlem af EU har Storbritannien allerede implementeret databeskyttelsesforordningen i britisk lov, og man vil derfor i praksis være på linje med EU-landene, selv i tilfælde af en hård Brexit. Alligevel vil Storbritannien med øjeblikkelig virkning blive betragtet som et tredjeland, endda et usikkert af slagsen, hvis man forlader EU uden aftale den 31. oktober.

Tredjelande er defineret som alle lande uden for EU og EØS. Sikre tredjelande er lande, som EU Kommissionen har vurderet er sikre, mens usikre tredjelande er de lande, som man endnu ikke har foretaget en vurdering af, eller som er vurderet usikre.

I tilfælde af hård Brexit skal EU således vurdere, om Storbritannien kan få status af sikkert tredjeland. Når og hvis det sker, vil overførsel af personoplysninger kunne ske på samme vilkår som nu. Hvor lang tid EU i givet fald skal bruge på den vurdering, er det, som så meget andet i Brexit-forløbet, ikke muligt at forudsige.

Denne artikel handler kun om en hård Brexits konsekvenser for overførsel af personoplysninger, men det påvirker jo generelt samhandlen med Storbritannien, og det kan du læse mere om på virk.dk’s tjekliste.

Læs mere om EU’s databeskyttelsesforordning her

Tilmeld dig til Beierholms nyhedsmail via dette LINK

Hent printvenlig pdf af artiklen her

Find en revisor nær dig

Find revisor

in
Share
f
Share
Share