Storbritannien har foreløbigt fået status som sikkert tredjeland. Det betyder, at virksomhederne de næste fire år skal foretage meget få ændringer i deres eksisterende compliance-setup for lovligt at kunne overføre personoplysninger til Storbritannien.

- Det er vigtigt, at der sikres klare og stabile rammer for brugen af digitale løsninger i samhandlen med vores tætte handelspartnere. Derfor har det stor betydning for dansk eksport og arbejdspladser, at EU vedtager en tilstrækkelighedserklæring i forhold til en vigtig handelspartner som Storbritannien, siger DI’s europapolitiske chef Anders Ladefoged. 

DI påpeger dog, at aftalen som udgangspunkt kun løber de næste fire år, hvorefter Storbritanniens status skal genvurderes. Hvis Storbritannien over de næste år vælger at sænke deres niveau af beskyttelse af persondata, er det langt fra sikkert, at Storbritannien stadig får denne særstatus af sikkert tredjeland. Hvis beskyttelsesniveauet bliver sænket kraftigt, kan Kommissionen også ophæve eller suspendere aftalen tidligere end om fire år. Derfor bliver DI også ved med at holde øje med udviklingen.

Man skal samtidig huske, at Storbritannien er et tredjeland i databeskyttelsesretlig forstand. Virksomheder, der overfører personoplysninger til Storbritannien, skal derfor opdatere deres artikel 30 fortegnelse for de behandlingsaktiviteter, hvor der overføres personoplysninger til Storbritannien.

Derfor skal relevante privatlivspolitikker/oplysningstekster også opdateres, så det fremgår at virksomheden overfører persondata til Storbritannien. Det skal samtidig nævnes i både fortegnelse og privatlivspolitikker/oplysningstekster, at overførslen sker på baggrund af, at Kommissionen har truffet en tilstrækkelighedsafgørelse, der giver Storbritannien status som sikkert tredjeland.

Overblik over persondata

DI’s europapolitiske chef opfordrer derfor til, at virksomhederne danner sig et overblik over, om de overfører persondata til Storbritannien. Overblikket dannes lettest ved at gøre sig følgende overvejelser:

• Har jeg et datterselskab eller koncerninternt selskab i Storbritannien, som har adgang til et eller flere af vores systemer?
• Fremgår det af nogle af mine databehandleraftaler, at databehandleren eller en underdatabehandler er fra Storbritannien?

- Kan du svare ’ja’ til et af de to spørgsmål, vil der være stor sandsynlighed for, at din virksomhed i større eller mindre omfang overfører persondata til Storbritannien, siger Anders Ladefoged.

Fordi Storbritannien har implementeret GDPR-lovgivningen nationalt, kan det også være et krav, at virksomheder i EU har en GDPR-repræsentant i Storbritannien. Du skal have en GDPR-repræsentant, hvis du ikke er etableret i Storbritannien, og du

1. Overvåger personer i Storbritanniens adfærd, eller
2. Udbyder varer eller tjenesteydelser til personer i Storbritannien

Hvis du stadig er i tvivl, om du overfører personoplysninger til Storbritannien, kan du skrive til JURpersondata@di.dk for vejledning om, hvad du bør være opmærksom på.