Overførsel af personoplysninger til UK hvis no-deal Brexit

GDPR stiller særlige krav, når virksomheder og organisationer sender persondata ud af EU. I tilfælde af et no-deal Brexit bliver UK et tredjeland fra den 30. marts 2019. I så fald er dataoverførsler kun lovlige, hvis virksomheden baserer overførslen på fx standardkontrakter godkendt af Kommissionen.

Det Europæiske Databeskyttelsesråd (EDPB) har udsendt en vejledning om GDPR’s krav til dataoverførsler i tilfælde af et no-deal Brexit. Vejledningen vedrører reglerne både for data, der overføres fra EU til Storbritannien og fra Storbritannien til EU (og EØS-landene).

Den sidste situation vil ikke blive påvirket. Her følger det af den britiske regerings udmeldinger, at data på samme måde som i dag kan overføres fra UK til EU.

Læs informationsteksten fra EDPB.

 

Dataoverførsler til UK efter 30. marts i tilfælde af no-deal Brexit

I mangel af en aftale mellem EU og UK (no-deal Brexit) vil UK blive et tredjeland fra kl. 00.00 CET den 30. marts 2019.

Som følge heraf vil overførsel af personoplysninger fra Danmark (og andre EU-lande) til UK skulle baseres på et af følgende instrumenter:

• Standard- eller ad hoc-standardkontrakter


• Bindende virksomhedsregler (BCR)


• Adfærdskodekser og certificeringsmekanismer.

I mangel af standardkontrakter eller andre passende garantier kan GRPR’s undtagelsesregler anvendes under visse forhold. Offentlige myndigheder har desuden mulighed for at anvende specifikke mekanismer, som er til rådighed for offentlige myndigheder.


Hvad bør danske virksomheder gøre?

EDPB opstiller fem skridt, som organisationer bør tage for at forberede sig på et no-deal Brexit:

• Identificer, hvilke behandlingsaktiviteter der indebærer overførsel af persondata til UK.


• Afklar, hvilken løsning der er relevant som overførselsgrundlag i virksomhedens situation.


• Sørg for at have den valgte løsning indarbejdet og klar til 30. marts 2019.


• Angiv i virksomhedens interne dokumentation, at overførsler vil blive foretaget til UK.


• Opdater virksomhedens privatlivspolitikker om dette for at informere de personer, der overføres oplysninger om.

Standardkontrakter og ad hoc-kontrakter om databeskyttelse

Den danske virksomhed og den britiske samarbejdspartner kan aftale at bruge standardkontrakter godkendt af EU-Kommissionen (Kommissionens standardkontrakter). Disse kontrakter giver de garantier med hensyn til databeskyttelse, der er nødvendige i tilfælde af overførsel af personoplysninger til ethvert tredjeland.

Der er i øjeblikket tre sæt standardkontrakter til rådighed. De to vedrører overførsel fra dataansvarlig til dataansvarlig, den sidste vedrører overførsel fra dataansvarlig til databehandler.

Ved brug af standardkontrakterne er det vigtigt at være opmærksom på, at standardbestemmelserne ikke må ændres, og at kontrakterne skal
underskrives som angivet.

Det er dog muligt at lade kontrakterne indgå i en større kontrakt. Der kan også tilføjes yderligere bestemmelser, hvis de ikke strider mod standardbestemmelserne.

Hvis man ændrer i standardbestemmelserne, indebærer det, at der bliver tale om en ad hoc-kontrakt. For at en ad-hoc kontrakt kan anvendes som grundlag for overførsel, skal den godkendes af det nationale datatilsyn efter en udtalelse fra EDPB.

BCR

BCR er databeskyttelsespolitikker, der udformes og overholdes af en multinational koncern med henblik på at tilvejebringe passende garantier for overførsel af personoplysninger også uden for EU inden for koncernen.

Hvis virksomheden allerede har en BCR, der er godkendt i henhold til det tidligere direktiv 95/46 /EF, er den fortsat er gyldig under GDPR og vil kunne anvendes som overførselsgrundlag. Dog skal en sådan BCR opdateres for at være fuldt ud i overensstemmelse med reglerne i GDPR.

Hvis en dansk virksomhed benytter en databehandler i UK, kan denne eventuelt være omfattet af BCR for databehandlere, som kan danne grundlag for overførslen.

Hvis virksomheden ikke har en BCR på plads, skal en eventuel ny BCR godkendes af den kompetente nationale tilsynsmyndighed efter en udtalelse fra EDPB.


Bech-Bruuns kommentarer

EDPB har med deres udmelding sat fokus på en udfordring for alle virksomheder, som overfører personoplysninger til Storbritannien.

Når virksomheden skal finde en egnet løsning, der kan anvendes allerede fra den 30. marts 2019, vil valget ofte falde på Kommissionens standardkontrakter uden ændringer.

Baggrunden er, at godkendelse af en ny BCR eller en ad-hoc kontrakt vil indebære en sagsbehandlingstid hos tilsynsmyndighederne, og det vil ikke være realistisk at nå det før 30. marts 2019.

Bech-Bruuns eksperter i persondataret er klar til at rådgive om valg af løsning og til at bistå med at få standardkontrakter på plads mellem den danske virksomhed og dens samarbejdspartnere i UK. Vi rådgiver også gerne om opdatering af privatlivspolitikker mv., så virksomhedens overførsler af personoplysninger til UK bliver omtalt.