Det er næppe gået manges næse forbi, at Brexit nærmer sig. Præcis hvordan det kommer til at spænde af, er der til gengæld flere mulige svar på, og virksomhedernes usikkerhed kan også være betydelig, når det gælder konsekvenserne for persondata, der udveksles med Storbritannien (UK).

Der er tre mulige scenarier:

UK stopper Brexit

Aftalen mellem EU og UK falder på plads inden 31. oktober 2019

”Hård Brexit”

De nemme løsninger

De to første scenarier er overkommelige set med virksomhedsøjne. Hvis UK helt dropper Brexit-processen, fortsætter landet som medlem af EU, og overførsel af persondata kan ske som hidtil.

Heller ikke hvis landet får en aftale på plads inden 31. oktober, vil virksomhederne behøve gøre noget anderledes i forhold til i dag. I det scenarie vil der nemlig i udtrædelsesperioden indtil 31. december 2020 gælde de samme regler omkring overførsel til UK som i dag. Denne udtrædelsesperiode kan forlænges op til to år frem, hvorfor perioden kan strække sig til 31. december 2022.

Den bøvlede løsning

Ender det derimod med, at UK forlader EU uden en aftale, altså et ”hårdt Brexit” vil landet fra 1. november 2019 ikke længere være medlem af EU, og vil således være at betragte som et ”usikkert tredjeland”.

Dette i modsætningen til et ”sikkert tredjeland”, som er lande, hvor EU Kommissionen har truffet afgørelse om, at beskyttelsesniveauet er tilstrækkeligt. De lande som er ”tilstrækkelighedsgodkendte” er Andorra, Argentina, Schweiz, Isle of Mans, Guernsey, Israel, Jersey, New Zealand, Færøerne og Uruguay. Bemærk her, at Grønland ikke er et sikkert tredjeland. 

Derudover er der nogle områder/sektorer i Australien, Canada, USA og Japan, som EU-Kommissionen på nuværende tidspunkt vurderer som sikre.

For mere information om de sikre sektorer se Datatilsynets vejledning om overførsel til tredjeland.

For at UK vil blive anset som et ”sikkert” tredjeland kræver det EU-Kommissionens godkendelse. Det vil formentlig tidligst kunne falde på plads sidst i 2020.

Indtil det sker, vil det altså kun være muligt at overføre persondata til UK, hvis man opfylder betingelserne for overførsel til et tredjeland i henhold til Databeskyttelsesforordningens kapitel 5. I særlige situationer kan der gives undtagelse efter artikel 49, men denne undtagelse vil normalt kun dække aktiviteter, der ikke kræver gentagen overførsel af persondata, og som kun vedrører et begrænset antal registrerede.

Læs også: Toldstyrelsen til 30.000 virksomheder: Nu skal I registrere jer for at handle med Storbritannien

Hvad skal virksomhederne gøre lige nu?

Det første, man som virksomhed skal gøre, er at afdække, om der sker en ”overførsel” til en dataansvarlig eller databehandler i UK, eller om virksomheden er en del af en koncern.

Er man i tvivl, kan det være en god idé at spørge sin databehandler, hvem der har systemadgang til data, og hvor denne systemadgang tilgås fra.

Hvis ikke, eller frem til, at UK bliver godkendt som et sikkert tredjeland så kan EU-Kommissionens standardkontrakter eller bindende virksomhedsregler (BCR) benyttes som overførselsgrundlag.

Find EU-Kommissionens standardkontrakter her

Virksomheden skal have de valgte overførselsgrundlag klar, så implementeringen kan ske pr. 1. november 2019.  Det vil sige, at virksomhederne skal opdatere deres relevante interne og eksterne dokumentation og kommunikation. Virksomhederne skal opdatere deres eksterne dokumentation, i form af privatlivspolitikker, om overførsel til UK som tredjeland, og hvilket overførselsgrundlag dette sker under. Den interne dokumentation er virksomhedens fortegnelser over behandlingsaktiviteter efter artikel 30.

Det er DI’s opfattelse, at Datatilsynet vil være forstående over for den udfordring, danske virksomheder står over for, hvis det ender i en ”hård Brexit”, hvor omstillingsperioden er minimal. Vi forventer derfor, at styrelsen primært vil have fokus på store dataoverførsler frem for mindre og interne overførsler som fx om en medarbejders oplysninger i en koncern.

Læs også magsinet DI Business tema om Brexit

Her finder du DI's Brexitværkstøjskasse

Har du andre spørgsmål vedrørende GDPR, står DI klar til at hjælpe. Man kan bl.a. finde hjælp og skabeloner til persondatabeskyttelse