Efter planen træder Storbritannien ud af EU fra marts 2019, og det kan få stor betydning for alle virksomheder, der har aktiviteter både i Storbritannien og i resten af EU. Det meddelte EU-kommissionen i starten af året.
Som det ser ud lige nu, forlader Storbritannien officielt EU den 30. marts 2019. Det kommer til at få en række konsekvenser for virksomheder og koncerner, der overfører persondata til og fra Storbritannien. Derfor kom EU-Kommissionen i starten af januar med en meddelelse, der beskriver, hvilke konsekvenser det vil få for disse virksomheder.
Konsekvensen af at Storbritannien træder ud af EU-samarbejdet er, at landet fremover vil være et ”tredje land”. Det betyder, at man som udgangspunkt ikke frit vil kunne overføre data mellem blandt andet Danmark og Storbritannien, medmindre at EU-Kommissionen godkender, at Storbritannien er et såkaldt sikkert tredjeland. En liste over de lande, der på nuværende tidspunkt er godkendt af Kommissionen, findes her.
Hvis ikke Storbritannien godkendes som et sikkert tredjeland, vil der ikke frit kunne overføres persondata til landet. Persondataforordningen giver i sådanne tilfælde en række alternative muligheder.
De permanente løsninger
Persondataforordningen indeholder fire alternative løsninger, som virksomheder kan bruge, når de skal overføre oplysninger til usikre tredjelande på mere permanent basis.
Hvis der er tale om en stor koncern med aktiviteter i flere (tredje)lande, kan koncernen indføre et sæt juridisk bindende regler godkendt af Datatilsynet, som skal gælde inden for koncernen. Såkaldte Binding Corporate Rules. Overførsler af persondata kan herefter frit ske inden for koncernen. Denne løsning er derfor yderst fordelagtig for internationale koncerner og deres HR-administration.
Er datamodtageren ikke en del af koncernen, kan man i stedet indgå en aftale på baggrund af en række standardbestemmelser udarbejdet af Kommissionen eller Datatilsynet. Det eneste krav herefter er, at man efterlever standardbestemmelserne. Datatilsynet har endnu ikke udarbejdet nogen standardbestemmelser, men Kommissionens standardbestemmelser kan findes her.
I andre tilfælde kan det måske bedre betale sig, at modtageren af oplysningerne i tredjelandet bliver certificeret af en godkendt certificeringsordning eller tiltræder et godkendt adfærdskodeks.
Enkeltstående overførsler
Er der tale om enkeltstående overførsler i konkrete situationer, kan det ikke nødvendigvis betale sig at benytte Binding Corporate Rules eller de andre løsninger ovenfor. Persondataforordningen giver i sådanne tilfælde mulighed for at bruge et særligt overførselsgrundlag. Det kan for eksempel være et konkret og informeret samtykke, hvis overførslen er nødvendig for at opfylde en kontrakt med datasubjektet, eller hvis det er nødvendigt for at forsvare eller gøre et retskrav gældende.
IUNO mener
Der er ingen tvivl om, at Brexit kommer til at få store konsekvenser for virksomheder med aktiviteter i både Storbritannien og i EU. Det er ikke til at vide, om Kommissionen kommer til at godkende Storbritannien som et sikkert tredjeland således, at man frit kan overføre data dertil. Hvorvidt dette vil ske vil i høj grad afhænge af de kommende politiske forhandlinger.
IUNO er derfor enig med Kommissionen i, at virksomheder, der har aktiviteter i Storbritannien, allerede nu bør begynde at overveje, hvordan de skal forholde sig, når Brexit bliver en realitet, hvis ikke Storbritannien bliver godkendt af EU-Kommissionen. Mange virksomheder har for eksempel allerede nu indsat Brexit-klausuler i deres databehandleraftaler, der sikrer at leverandørerne er forpligtet til at flytte data til EU i tilfælde af et Brexit uden særaftale på persondataområdet.
[EU-kommissionens meddelelse af 9. januar 2018]
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →