Må man overføre personoplysninger til Storbritannien efter Brexit?

Besvarelsen af spørgsmålet er relevant for alle virksomheder, som deler personoplysninger med modtagere i Storbritannien, hvad enten modtageren er et moderselskab, der forestår koncern HR administration, eller en leverandør af en IT platform, der hostes i Storbritannien, eller som på anden vis overfører oplysninger til en dataansvarlig eller en databehandler i Storbritannien.

Det netop offentliggjorte udkast til en Brexit-aftale kaster lidt lys over, hvad der kan forventes – hvis altså der kan opnås enighed om at indgå aftalen.

Brexit-aftalen er kompleks, men det korte budskab er, at Databeskyttelsesforordningen med visse undtagelser skal fortsætte med at gælde i Storbritannien i en overgangsperiode fra Brexit den 30. marts 2019 til 1. januar 2021. Det indebærer, at der i overgangsperioden fortsat vil kunne overføres oplysninger til Storbritannien på samme måde som i dag.

Det forventes, at Storbritannien i overgangsperioden vil forsøge at opnå EU kommissionens godkendelse som et sikkert tredjeland, således at der også efter udløbet af overgangsperioden kan overføres personoplysninger til Storbritannien.

Opnås en sådan godkendelse ikke, forpligter Storbritannien sig til efter udløbet af overgangsperioden fortsat at anvende Databeskyttelsesforordningens regler på behandlinger af personoplysninger, der var påbegyndt inden og fortsætter efter overgangsperiodens udløb. For overførsel af nye oplysninger, må der findes en anden løsning, således som vi kender det i dag ved overførsler til tredjelande.

Hård Brexit vil ramme virksomheder

Men hvad nu hvis EU og Storbritannien ikke bliver enige om en aftale, altså hvis det bliver en hård Brexit? Ja, så er Storbritannien fra den 30 marts 2019 at betragte som et land uden for EU, som ikke er vurderet at være et sikkert tredjeland. Overførsler af data til Storbritannien skal derfor opfylde samme krav om yderligere sikkerhedsforanstaltninger, som overførsel af oplysninger til andre usikre tredjelande, herunder ved indgåelse af kommissionens modelkontrakter, Binding Corporate Rules eller andre overførselsgrundlag jf. Databeskyttelsesforordningens art. 44 – 50.

De seneste dage har vist, at der ikke er sikkerhed for, at Storbritannien kan opnå politisk enighed om at indgå aftalen. Virksomheder og organisationer, der overfører oplysninger til Storbritannien opfordres til at følge situationen – og i god tid inden Brexit den 30. marts 2019 at overveje og implementere løsninger, der sikrer, at der fortsat kan overføres personoplysninger til Storbritannien.

Bird & Bird holder øje med udviklingen og følger løbende op, når der sker udvikling på Brexits betydning for dataoverførsler til Storbritannien.

Torsdag den 6. december 2018 har vi samlet en række eksperter, der fortæller om, hvad nordiske virksomheder bør tage højde for i det forestående Brexit. Læs mere om arrangementet og kom og hør med.

> Kontakt vores persondatateam, hvis du vil vide mere