I tilfælde af en hård Brexit – ja så bliver Storbritannien et usikkert tredjeland efter d. 30. marts 2019.

Hvad det betyder for GDPR?

Nuværende databeskyttelse og lovgivningsmæssige rammer i Storbritannien

Organisationer i EU der behandler oplysninger om levende individer, uanset om de er medarbejdere, kunder eller leverandører, skal overholde GDPR. I Storbritannien suppleres GDPR med databeskyttelsesloven af 2018, som gør det muligt for GDPR at fungere korrekt som national lovgivning. GDPR og databeskyttelsesloven håndhæves begge af informationskommissæren, som handler gennem informationskommissærens kontor (ICO).

ICO er en aktiv regulator der udsteder et væld af vejledninger, som skal hjælpe organisationer med at overholde deres forpligtelser De organisationer der undlader at overholde disse, kan og vil ICO udstede store sanktioner.

Både ICO og den britiske regering har bekræftet, at GDPR vil forblive lov i Storbritannien efter Brexit og vil fortsat blive håndhævet af ICO.

Databeskyttelsesmæssige konsekvenser af Brexit

GDPR, ligesom databeskyttelsesloven fra 1998, giver mulighed for at dele personoplysninger mellem EU-medlemsstater, men forbyder overførsel af personoplysninger til tredjelande uden for EU, der ikke sikrer tilstrækkelig beskyttelse.

GDPR indeholder bestemmelser der gør det muligt for Europa-Kommissionen, at udstede en beslutning om tilstrækkelighed, hvor et land kan godtgøre, at det har passende databeskyttelseslovgivning og en uafhængig og effektiv databeskyttelsesmyndighed. En beslutning om tilstrækkelighed betyder, at controllere i EU-medlemsstater frit kan overføre personoplysninger til det godkendte tredjeland, som om det var en anden medlemsstat.

Baseret på kriterierne i GDPR, så bør Storbritannien teoretisk opfylde kriterierne for et “sikkert 3 land”, men dette er et politisk ladet spørgsmål, og der er på ingen måde en forudgående konklusion, at der bliver truffet en hurtig beslutning. UK søger en “forbedret tilstrækkelig beslutning”, som gør det muligt for ICO at fortsætte med, at deltage i Det Europæiske Databeskyttelsesråd, der har til formål at sikre en konsistent anvendelse af loven. Dette komplicerer dog godkendelsesprocessen yderligere, idet de derved igen åbner op for det politiske spil.

Mulige resultater

Der er tre mulige resultater i forhold til Storbritanniens ansøgning om en beslutning om tilstrækkelighed:

  1. Ingen aftale: Storbritannien bliver et tredjeland, som EU-medlemsstater ikke må overføre personoplysninger til, medmindre der findes en lovlig dataoverførselsløsning (forklaret nedenfor).
  2. Beslutning om egnethed: Storbritannien anerkendes som et godkendt land, hvortil personoplysninger frit kan overføres fra EU-medlemsstaterne. ICO ville imidlertid ikke deltage i Det Europæiske Databeskyttelsesråd, hvilket kunne resultere i en inkonsekvent tilgang mellem ICO og europæiske tilsynsmyndigheder.
  3. Beslutning om forbedret tilstrækkelighed: Storbritannien bliver anerkendt som et godkendt tredjeland, og ICO vil deltage i Det Europæiske Databeskyttelsesråd.

Sådan forbereder du dig

Hvorvidt Storbritannien efter Brexit og enhver overgangsperiode vil modtage en gunstig beslutning om tilstrækkelighed, er svært at forudsige.

Det er tilrådeligt at forvente det værste og antage, at Storbritannien bliver et “tredjeland”.

Dette indebærer, at du skal overveje, hvilken dataoverførselsløsning under GDPR som er bedst, og hvordan man implementerer den, hvis behovet skulle opstå.

Hvis du overfører personoplysninger til Storbritannien, skal du ifølge Datatilsynet, være opmærksom på:

  • få kortlagt hvilke personoplysninger, du overfører til Storbritannien og den kontekst oplysningerne overføres i (sker overførslen til en dataansvarlig eller en databehandler, og er din organisation en del af en koncern?)
  • Undersøge hvilket overførselsgrundlag som kan komme på tale for dig i tilfælde af, at Storbritannien bliver et usikkert tredjeland pr. 30. marts 2019
  • Implementere det valgte overførselsgrundlag med henblik på at have det klart senest pr. 30. marts 2019
  • Opdatere relevant intern – og ekstern kommunikation i forhold til at du fremover overfører personoplysninger til Storbritannien som tredjeland

Datatilsynets vejledning om overførsel af personoplysninger til tredjelande kan du læse generelt om overførsel af personoplysninger til tredjelande.