GDPR efter Brexit?

Udfordringerne i GDPR opstår ikke mindst, når en virksomhed fra et EU-land samarbejder med virksomheder uden for EU. Det store spørgsmål er derfor, om persondataforordningen kommer til at finde anvendelse på engelske virksomheder efter Brexit? Og spørgsmålet er lige relevant for de britiske virksomheder som for de EU-baserede virksomheder, der på den ene eller anden måde samarbejder med britiske virksomheder.

Mange mener, at EU’s persondataforordning, GDPR, spænder ben for de fleste virksomheder, både inden og udenfor EU.

Alle virksomheder i et EU-land skal, som en del af den frie bevægelighed, have implementeret forordningen og forordningens principper. Udfordringerne opstår særligt, når en virksomhed, der er oprettet i EU-land, samarbejder med en virksomhed i et land udenfor EU, som ikke er underlagt de nye krav til opbevaring, beskyttelse, videregivelse og dokumentation af data.

Udfordringerne bliver ikke mindre, når en virksomhed i et EU-land, som allerede har implementeret forordningen i virksomheden på lige fod med andre virksomheder i andre EU-lande, skal overveje andre implementeringsmuligheder – som i tilfældet Brexit.

Relevant for begge parter
Hvad vil der ske, hvis engelske virksomheder ikke længere er forligtet til at overholde persondataforordningen? Hvordan forholder de sig til alle deres samarbejdspartnere i de øvrige EU-lande? Og kan de stadig dele personoplysninger med de øvrige EU-lande og omvendt?

Spørgsmålene er ikke kun relevante for engelske virksomheder, men også for andre virksomheder, som befinder sig i et EU-land og som samarbejder med engelske virksomheder. Det gælder alle former for samarbejde, herunder hostingvirksomheder og andre leverandører.

Overgangsperiode
Derfor måtte de engelske myndigheder udarbejde et udkast til nogle retningslinjer i Brexit-aftalen, hvor der er aftalt en overgangsperiode. Dette betyder – såfremt aftalen træder i kraft -, at reglerne i persondatafordningen mere eller mindre vil være gældende for alle engelske virksomheder fra Brexit-datoen den 30. marts 2019 og frem til 31. december 2020. Således vil samarbejdet med engelske virksomheder fra den 1. januar 2021 foregå på samme måde, som det foregår i et ’sikkert’ tredjeland, såfremt EU-kommissionen accepterer disse retningslinjer i en Brexit-aftale.

Usikkert tredjeland
Hvis det viser sig, at der ikke kan opnås enighed om en endelig Brexit aftale – inden Brexit-datoen den 30. marts 2019 – regnes Storbritannien som et ’usikkert’ tredjeland.

Det betyder, at overførsel af fremtidige personoplysninger kommer til at foregå efter særlige sikkerhedsforanstaltninger i databeskyttelsesforordningens art. 44-50. Således, at overførsel af personoplysninger til virksomheder i Storbritannien foregår efter disse bestemmelser.

Derfor skal virksomheder i EU-landene, som har samarbejdsrelationer med engelske virksomheder omkring overførsel af persondata, forholde sig til kravene i nævnte bestemmelser, inden Brexit-datoen, den 30. marts 2019.

Skrevet af

Nanna Haddad

Nanna Haddad, Juridisk konsulent

Nanna Haddad er juridisk konsulent i revisorJURA med fokus på implementering af persondataforordningen i SMV’er. Hun har erfaring med erhvervsjuridisk rådgivning, konkret sagsbehandling inden for forvaltningsret og persondataret samt formidling på flere sprog.