13.01.21 DI Digital Nyheder

Overblik: Konsekvenser for persondataoverførsler efter UK-EU handelsaftalen

Storbritannien (UK) udtrådte formelt af EU d. 31. januar 2020. Siden da blev der indført en overgangsperiode, hvor virksomheder i EU/EØS kunne overføre persondata til UK som var det et land i EU. Overgangsperioden udløb d. 31. december 2020, men er nu blevet erstattet af en handelsaftale.

Handelsaftalen blev en realitet d. 24. december 2020. Aftalen fastlægger en lang række forhold mellem EU og UK, herunder overførsel af personoplysninger. Med aftalen kan virksomheder i EU/EØS fortsat frit overføre persondata til UK frem til d. 1. maj, der dog forlænges til 1. juli 2021, hvis ikke parterne gør indsigelse, eller UK selvstændigt ændrer deres databeskyttelseslovgivning. Aftalen har fået betinget virkning fra d. 1. januar, og reglerne gælder derfor allerede nu.

Det er helt afgørende, at danske virksomheder lovligt kan overføre persondata til deres datterselskaber, serviceleverandører og kunder uden for EU. Dansk Industri har derfor opfordret til, at der fra dansk side presses på for, at EU, i samarbejde med nationale institutioner, hurtigt får skabt forudsigelighed og klarhed, så der fremadrettet kan sikres lovlige overførsler så let så muligt for virksomhederne. En sådan klarhed for persondataoverførsler til UK vil særligt skabes, hvis EU-Kommissionen lander en permanent afgørelse af UK som sikkert tredjeland.

Udover den uafklarede fremtid for persondataoverførsler mellem UK og EU, er danske virksomheder også i en ny situation i forbindelse med persondataoverførsler mellem EU og resten af verden, som følge af Schrems II-dommen (læs mere her og se webinar om EDPB’s retningslinjer her). Dataoverførsler er en naturlig del af den globale samhandel, men DI oplever, at særligt Schrems II-dommen har gjort retstilstanden uklar for alle virksomheder, der overfører persondata til lande uden for EU. Hvis ikke der findes en løsning mellem EU og UK efter 1. juli, vil denne usikkerhed også ramme overførsler af persondata til UK. DI har derfor samlet de vigtigste datoer og scenarier nedenfor. Her kan du læse mere om handelsaftales betydning for din virksomhed, afhængig af de forskellige scenarier, der kan opstå efter aftalens udløb.

Handelsaftalens betydning for persondataoverførsler til UK

Med overgangsperioden udløb, anses UK nu officielt som et tredjeland efter databeskyttelsesretten. Med handelsaftalen er der dog blevet lavet en midlertidig løsning, hvor overførsler af persondata fra en virksomhed i EU/EØS til UK ikke vil blive anset som en overførsel til et tredjeland. Den midlertidige løsning slutter enten:

  • Når EU-Kommissionen afgør, at UK er et sikkert tredjeland, dog senest
  • 1 juli 2021

Fra nu og frem til d. 1. maj eller 1. juli 2021, kan virksomheder derfor overføre persondata til UK, som var det et land inden for EU/EØS. Der vil ikke være forskel på, hvordan virksomheder skal agere databeskyttelsesretligt de næste 4-6 måneder, i forhold til tidligere.

Det er dog et krav, at UK ikke vedtager ændringer i deres databeskyttelseslovgivning. Du kan holde dig opdateret på di.dk/brexit, hvor det vil fremgå, hvis UK vedtager ændringer, der kan have betydning for dine persondataoverførsler. DI vil ligeledes holde virksomhederne opdateret, hvis EU-Kommissionen træffer afgørelse om, at UK bliver et sikkert tredjeland.

Hvad sker der efter d. 1. maj eller 1. juli

Når aftaleperioden ophører, vil UK som udgangspunkt være et tredjeland i databeskyttelsesretlig forstand. Medmindre EU og UK aftaler endnu en forlængelse af den nuværende periode, hvor UK ikke ses som et tredjeland, vil UK med sikkerhed være et tredjeland fra 1. juli, og man vil derfor skulle overholde nogle særlige regler i databeskyttelsesforordningen:

  • Kapitel V: Disse regler regulerer overførsel af persondata til lande uden for EU (tredjelande). Det er et krav efter de regler, at man har et passende overførselsgrundlag, ligesom at man skal følge anbefalingerne fra EDPB, der fulgte efter Schrems II-sagen.
  • Artikel 30(1e) og 30(2c): Angivelse af overførsler til UK i fortegnelsen
  • Artikel 13(1f) og 14(1f): Angivelse af overførsler til UK i privatlivspolitikker

Det er særligt kapitel V i databeskyttelsesforordningen, der kan få betydning for, hvordan fremtiden vil se ud. Det er nemlig efter disse regler, at EU-Kommissionen kan godkende et land uden for EU/EØS som ’sikkert’. Følgende to scenarier kan derfor udspille sig ved aftaleperiodens ophør d. 1 maj eller 1. juli.

Scenarie 1: UK som sikkert tredjeland

Hvis Kommissionen træffer afgørelse om, at UK er et sikkert tredjeland, vil det give virksomhederne ’ret’ til at overføre persondata til UK uden yderligere beskyttelsestiltag. Man skal dog huske, at UK er et tredjeland, og derfor skal man opliste overførsler til UK i fortegnelsen, privatlivspolitikken og eventuelle oplysningstekster efter artikel 30 og 13-14.

Denne løsning er den bedste for virksomhederne, da den kræver meget få ændringer i eksisterende løsninger.

EU-Kommissionens afgørelse af UK som sikkert tredjeland, er dog alene en databeskyttelsesretlig vurdering, og en fremtidig handelsaftale vil ikke have indvirkning på EU-Kommissionens vurdering.

Det er af den grund et realistisk scenarie, at EU-Kommissionen ikke når at godkende UK som et sikkert tredjeland. I det tilfælde, vil UK være et usikkert tredjeland, og danske og europæiske virksomheder skal sikre et passende overførselsgrundlag, når de overfører persondata til UK. DI foreslår derfor, at man allerede nu får et overblik over, om man overfører persondata til UK.

Scenarie 2: UK som usikkert tredjeland

Når EU-Kommissionen ikke at godkende UK som et sikkert tredjeland inden d. 1. juli, og handelsaftalens aftaleperiode ikke forlænges, vil persondataoverførsler til UK fra d. 1. juli 2021 være overførsler til et usikkert tredjeland.

Det er et krav efter databeskyttelsesforordningens kapitel V, at overførsler til usikre tredjelande er beskyttet af et ’passende overførselsgrundlag’. For de fleste virksomheder, vil dette passende overførselsgrundlag være EU-Kommissionens standardkontraktbestemmelser (SCC’er).

Man skal dog være opmærksom på, at der efter Schrems II-sagen i sommeren 2020, stilles strenge krav til anvendelsen af SCC’erne. Datatilsynet har d. 11 november 2020 lavet en nyhed om kravene, hvor de henviser til de anbefalinger fra EDPB, som skal følges.

Kan UK ikke godkendes som et sikkert tredjeland, vil de mangler som Kommissionen har påpeget, i mange tilfælde også have en betydning for kravene til SCC’erne.

Det vil være op til virksomheden selv at vurdere, om de dele af UK’s lovgivning, der hindrede EU-Kommissionen i at godkende UK som sikkert tredjeland, også gælder for den overførsel af persondata til UK, som virksomheden selv foretager. Hvis lovgivningen også ’rammer’ virksomhedens overførsler, skal man som virksomhed vurdere, om det er muligt at implementere supplerende foranstaltninger, der kan afhjælpe de mangler, som UK lovgivning medfører.

Udpegelse af GDPR-repræsentant i UK

Få er opmærksomme på, at der pr. 31 december 2020 er kommet et nyt krav om repræsentant i UK for europæiske, herunder danske, virksomheder. Det er et krav at have en repræsentant, hvis

  1. din virksomhed ikke er etableret i UK, og
  2. behandler oplysninger om britiske registrerede, og
  3. behandlingen enten vedrører målretning af varer eller tjenesteydelser mod britiske registrerede, eller overvågning af britiske registreredes adfærd i UK

Du kan læse mere om kravet til udpegelse af en UK databeskyttelsesrepræsentant på det britiske datatilsyn, ICO’s, hjemmeside.

Hvad gør jeg?

EU-Kommissionens vurdering af UK som sikkert tredjeland eller ej, vil få stor betydning for virksomhedernes fremtidige persondataoverførsler til UK. Allerede nu er det dog sikkert, at UK senest d. 1. juli vil blive et tredjeland efter GDPR. Man bør derfor få styr på, om ens virksomhed overfører persondata til UK allerede nu. Derudover vil det være en fordel at sikre, at ens fortegnelser, privatlivspolitikker og oplysningstekster er klar til opdatering d. 1 maj eller 1. juli 2021.

DI opdaterer løbende om brexit på di.dk/brexit, hvor du også vil kunne se, hvis der kommer tiltag, der får betydning for din overførsel af persondata til UK.

Spørgsmål og yderligere henvendelser rettes gerne til erhvervsjuridisk konsulent, Emil Fink-Jensen, på emfj@di.dk og fagleder, digital ansvarlighed og cybersikkerhed, Morten Rosted Vang på morv@di.dk.

Relateret indhold