Brexit: Bend or break?

Storbritannien bliver med Brexit et tredjeland i GDPR-regi. Det store spørgsmål er, om man får enderne til at mødes, så der fortsat kan ske fri overførelse af persondata mellem Storbritannien og EU, eller om der nu bliver sat barrierer op, som forhindrer det. Der er ingen tvivl om, at hvis den fri udveksling af persondata forsvinder, vil det være til stor skade for både briterne og EU. 

Det voldsomt omfattende arbejde forud for Storbritanniens udtrædelse af EU kører netop nu for fuld skrue. Blandt de uhyrligt mange aspekter, der skal falde på plads, er, hvad der skal ske i forhold til overførsel af persondata mellem Storbritannien og EU-landene. Skrækscenariet, hvor der ikke er en aftale på plads efter marts 2019, er en reel risiko, som briterne tager seriøst.

Den britiske regering er derfor begyndt at forberede sig på, at britiske virksomheder i stort omfang kan blive ramt af Brexit, hvis der ikke kommer en aftale på plads. Storbritannien har, ligesom resten af EU, implementeret GDPR i deres nationale lovgivning med dertilhørende supplerende lov omkring databeskyttelse. Dette vil ikke ændres efter Brexit, uanset om en aftale om Storbritanniens udmeldelse når at komme i hus til tiden i 2019. GDPR vil ligeledes stadig være gældende i UK.

Så langt, så godt

Tilstrækkeligt sikkerhedsniveau
Der, hvor der kan opstå problemer, er i den frie bevægelse af data mellem Storbritannien og EU. Storbritannien vil blive anset for at være et tredjeland i GDPR-sammenhæng, og der skal derfor foretages en vurdering af sikkerhedsniveauet i Storbritanniens databeskyttelsesregler.

Kommer EU-Kommissionen til den konklusion, at briterne har et tilstrækkeligt sikkerhedsniveau, vil Storbritannien blive anset for at være et sikkert tredjeland, og det vil være tilladt frit at overføre data ind og ud af landet. Denne vurdering vil EU-Kommissionen dog ikke foretage, før Storbritannien officielt er at anse for et tredjeland. Og dette sikkerhedsniveau skal hele tiden tilpasses i det omfang, GDPR strammes op.

Standard contract clauses
Bliver vurderingen mod forventningen, at Storbritannien ikke har det fornødne sikkerhedsniveau, og dermed ikke kan anses for at være et sikkert tredjeland, vil både de britiske og EU’s virksomheder blive tvunget til at finde et andet overførselsgrundlag. For de fleste virksomheder vil standard contractual clauses være en mulighed.

Et sådan sæt af aftaler binder virksomhederne overfor hinanden, blandt andet i forhold til at sikre de personers rettigheder som virksomhederne behandler og deler oplysninger om. EU-Kommissionen har lavet et sæt af aftaler, der er godkendt til at stille de fornødne sikkerheder overfor de registrerede personer og virksomhederne imellem.

Virksomheder risikerer bøder
Bliver der ikke etableret et gyldigt overførselsgrundlag virksomhederne imellem, og ender det med at Storbritannien ikke bliver anset for et sikkert tredjeland, vil en overførsel af persondata til Storbritannien være ulovlig, og dermed vil de involverede virksomheder risikere at få bøder.

Det er derfor vigtigt for EU-virksomheder at få gennemgået de aftaler, de har med britiske virksomheder, og få klarlagt hvorvidt der sker en overførsel af persondata. Det er særligt relevant ved aftaler vedrørende fjernhosting (cloud services) og datacentre.

Kryds fingrene
Storbritannien forsikrer, at de fortsat vil stræbe efter at opretholde et højt niveau af datasikkerhed, både før og efter marts 2019, og gøre hvad de kan, for at sikre en aftale om dataoverførsel, ligesom de opfordrer alle britiske virksomheder til at sørge for at have stort fokus på at leve op til kravene i GDPR.

De vil ligeledes sørge for at vejlede britiske virksomheder så vidt muligt omkring, hvad Brexit har af betydning for dem, og hvilke foranstaltninger de skal foretage for fortsat at kunne overføre og modtage persondata fra EU-baserede virksomheder, og om EU-borgere.

Lad os krydse fingre for, det bliver et ’bend’ og ikke et ’break’.

Tags

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle