Brexit – Må man overføre personoplysninger til UK efter den 31. december 2020?

Den 24. december 2020 - efter fire års forhandlinger - nåede EU-Kommissionen og den britiske regering endelig til enighed om en aftale, der skal regulere forholdet mellem EU og UK fra den 1. januar 2021. Aftalen er betinget af det britiske parlament og EU-landendes endelige godkendelse af aftalen, der dog anses for en formalitet.

Udtrædelsesaftalen i fuldtekst, Q&A mv. findes her. En opsummering af aftalen kan tilgås her. 

UK’s status som tredjeland

Den 1. januar 2021 bliver UK at betragte som et tredjeland i forhold til EU, hvilket får en lang række konsekvenser – én af dem er overførsler af personoplysninger til UK. 

Overførsel af personoplysninger til et tredjeland kræver i henhold til Databeskyttelsesforordningens kapitel V (artikel 44-50) et overførselsgrundlag i modsætning til overførsler inden for EU. Dette for at sikre tilstrækkelig beskyttelse af personoplysningerne. 

Overgangsperiode på 6 måneder

Aftalen med mellem UK og EU tillader, at overførsler fra EU (og EØS) til UK kan fortsætte uændret op til 6 måneder fra den 1. januar 2021, dvs. uden at der i denne periode er behov for at etablere et overførselsgrundlag. I mellemtiden arbejdes der på at få UK godkendt som et sikkert tredjeland via en ”tilstrækkelighedsafgørelse” i medfør af Databeskyttelsesforordningens artikel 45. 

Dataansvarlige i EU og EØS, der også efter den 31. december 2020 har behov for at overføre personoplysninger til UK, kan dermed ånde lettet op – i hvert fald for en stund – og fortsætte med overførslerne som hidtil, indtil Kommissionen har truffet afgørelse om, hvorvidt UK kan optages på listen over sikre tredjelande, dog maksimalt indtil udgangen af juni 2021. 

Henset til at UK’s hidtidige lovgivning har været baseret på Databeskyttelsesforordningen og vigtigheden for UK af fortsat at kunne få overført personoplysninger fra EU/EØS, er der umiddelbart stor sandsynlighed for, at UK vil indrette sin fremtidige lovgivning på en sådan måde, at UK vil kunne opnå godkendelse som et sikkert tredjeland.

I mellemtiden anbefaler Bird & Bird, at man som dataansvarlig danner sig et overblik over, om man overfører personoplysninger til UK. Baseret herpå kan man hurtigt foretage de nødvendige tilpasninger af sine behandlingsaktiviteter og/eller grundlaget herfor, når UK’s status som sikkert eller usikkert tredjeland er endeligt afklaret. 

Bird & Bird følger udviklingen tæt – og vil løbende offentliggøre nyheder om emnet.  

For yderligere information kontakt Katja Djurhuus, Maja Krarup, Laura Katarina Dollerup, Michael Gorm Madsen eller Jesper Langemark.

Hvis du løbende vil modtage opdateringer om databeskyttelse, kan du tilmelde dig vores internationale nyhedsbrev Privacy & Data Protection newsletter.