Brexit – hvad med databeskyttelsen?

Premierminister Theresa May har den 2. oktober udtalt, at artikel 50 i Lissabontraktaten vil blive udløst i første kvartal af 2017. UK’s formelle udgang af EU iværksættes herefter og kan strække sig over en 2-årig forhandlingsperiode.

I samme anledning advokerede premierminister Theresa May for, at offentliggørelsen af tidspunktet for udløsningen af artikel 50 giver de resterende medlemsstater mulighed for at lave forberedende arbejde sådan, at forhandlingssituationen og den endelige udgang bliver lettere og så gnidningsfri som mulig.  

Ét spørgsmål, som for rigtig mange står åbent, er spørgsmålet om, hvordan beskyttelsen af personlig data vil ske post-Brexit.  

Den nye regulering – GDPR

I april 2016 blev de nye regler om databeskyttelse vedtaget. Beskyttelsen af personlig data vil derfor fra reglernes ikrafttrædelse den 25. maj 2018 blive reguleret af forordningen GDPR (General Data Protection Regulation 2016/679), som derved afløser nugældende direktiv DPD (Data Protection Directive 95/46/EC).

Forordningen er særligt indrettet til at skærpe individers rettigheder til deres personlige data. Principperne om "the right to be forgotten" og "one stop shop approach" er bare eksempler herpå.

Dertil kommer også større og skærpede obligatoriske krav til virksomheder i forbindelse med beskyttelsen af data. Eksempelvis skal store virksomheder ansætte en Data Protection Officer (DPO), som skal påse og rapportere til myndighederne – i UK til Information Commissioner's Office – inden for 72 timer, hvis der er sket brud på datasikkerheden. Ligeledes følger det af GDPR, at virksomheder kan blive udsat for bødeforlæg på op til maksimalt 4 % af den årlige omsætning eller 20 millioner euro.

Ikrafttrædelsen af GDPR den 25. maj 2018 betyder, at UK højst sandsynligt vil leve under GDPR i en rum tid, medmindre medlemslandene ved enstemmighed indgår anden aftale. Dette forekommer umiddelbart ikke sandsynligt. Som den nyvalgte informationskommissær Elizabeth Denham udtalte i et interview over for BBC Radio 4 den 29. september 2016, kan der altså blive tale om et ”start and stop regulatory environment”, som ifølge hende er meget uhensigtsmæssigt – særligt for UK-virksomheder.

Betyder Brexit nu også Brexit?

I sit interview udtalte Elizabeth Denham tillige, at UK står over for en kæmpe problemstilling, når det handler om databeskyttelse. Hun udtalte bl.a.: ”I don't think Brexit should mean Brexit when it comes to standards of data protection.”

UK har meget stor interesse i at fortsætte med at handle og lave forretninger med virksomheder i EU. Det er derfor efter hendes mening yderst vigtigt og altafgørende for det fremtidige samarbejde, at UK-lovgivning på det persondataretlige område i fremtiden vil være overensstemmende eller ækvivalent med de regler, som EU-forbrugere ellers beskyttes af.

Det er derfor vigtigt også at notere sig GDPR's princip om "long arm approach" til andre jurisdiktioner. "Long arm approach" går ud på, at GDPR har eksterritorial effekt, hvorfor ethvert UK-selskab, som handler inden for EU, skal overholde GDPR, såfremt de på en eller anden måde behandler persondata. Dette gælder egentlig for alle virksomheder uanset hvor i verden de er placeret, såfremt de behandler EU-borgeres personlige oplysninger eller overvåger aktiviteter, hvor disse indgår. 

Hvordan kan UK møde kravene i GDPR post-Brexit?

UK har flere muligheder for at imødekomme kravene i den kommende GDPR.

For det første kan UK forfølge en vej som EFTA (Den Europæiske Frihandelssammenslutning/European Free Trade Association) og forblive medlem af EØS (Det Europæiske Økonomiske Samarbejdsområde). UK er på nuværende tidspunkt medlem af EØS i kraft af deres medlemskab i EU.

Dette vil betyde, at UK er nødsaget til at følge de restriktioner, som EU nedsætter. For de nuværende medlemmer af EØS har dette betydet, at de har adopteret regelgrundlaget, som i dag regulerer databeskyttelsen, nemlig DPD. Dette vil højst sandsynligt også være gældende efter ikrafttrædelsen af GDPR. UK kan derfor ikke på denne vis undgå at adoptere GDPR.

For det andet er ”the Swiss model”. Schweiz er ikke medlem af EØS, men af EFTA. Schweiz har derfor dets egne love og regler for beskyttelse af data, som er meget lignende EU’s nuværende regler. De har derfor adgang til EU-markedet ved bilaterale aftaler, som løbende ajourføres. Disse regler er derudover anerkendt og godkendt af Kommissionen ved en ”adequacy decision”. Dette betyder, at schweiziske virksomheder på nuværende tidspunkt godt kan modtage og behandle persondata, som stammer fra EU borgere.

Det må dog være klart, at de schweiziske regler højst sandsynligt skal justeres efter GDPR’s ikrafttrædelse, for at Schweiz kan bevare deres status. UK vil derfor efter denne model også skulle indrette deres lovgivning sådan, at den kan leve op hertil. De kan dog herigennem bestemme deres egne regler, men skal ansøge om en "adequacy decision" fra Kommissionen.

En tredje mulighed er, at UK indgår aftaler med EU uafhængigt eller igennem organisationer, såsom WTO (World Trade Organisation). Eksempler på dette er Canada og USA. Det vil med denne model stå UK frit for at vælge, hvilke regler og love de ønsker at implementere. Problemet er imidlertid, at UK risikerer en lignende situation som USA med den nu invalide Safe Harbor-ordning. Denne risikable situation kan få enorm indflydelse og konsekvenser for virksomheder i UK.       

Det er nuværende tidspunkt stadig uklart, hvilken vej UK vælger at gå. Men det er klart, at ICO Elizabeth Denhams udtalelser om vigtigheden af et "equivalent" lovregime, samt de enorme konsekvenser, det kan have for de utallige virksomheder, som handler med/i EU, kunne tyde på, at UK er forberedt og villig til at imødekomme den nye skærpede regulering i GDPR.