Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Overførsel af personoplysninger til UK hvis no-deal Brexit

Bech-Bruun
18/02/2019
Overførsel af personoplysninger til UK hvis no-deal Brexit
Bech-Bruun logo
GDPR stiller særlige krav, når virksomheder og organisationer sender persondata ud af EU. I tilfælde af et no-deal Brexit bliver UK et tredjeland fra den 30. marts 2019. I så fald er dataoverførsler kun lovlige, hvis virksomheden baserer overførslen på fx standardkontrakter godkendt af Kommissionen.

Det Europæiske Databeskyttelsesråd (EDPB) har udsendt en vejledning om GDPR’s krav til dataoverførsler i tilfælde af et no-deal Brexit. Vejledningen vedrører reglerne både for data, der overføres fra EU til Storbritannien og fra Storbritannien til EU (og EØS-landene).

Den sidste situation vil ikke blive påvirket. Her følger det af den britiske regerings udmeldinger, at data på samme måde som i dag kan overføres fra UK til EU.

Læs informationsteksten fra EDPB.

 

Dataoverførsler til UK efter 30. marts i tilfælde af no-deal Brexit

I mangel af en aftale mellem EU og UK (no-deal Brexit) vil UK blive et tredjeland fra kl. 00.00 CET den 30. marts 2019.

Som følge heraf vil overførsel af personoplysninger fra Danmark (og andre EU-lande) til UK skulle baseres på et af følgende instrumenter:

  • Standard- eller ad hoc-standardkontrakter

  • Bindende virksomhedsregler (BCR)

  • Adfærdskodekser og certificeringsmekanismer.


I mangel af standardkontrakter eller andre passende garantier kan GRPR’s undtagelsesregler anvendes under visse forhold. Offentlige myndigheder har desuden mulighed for at anvende specifikke mekanismer, som er til rådighed for offentlige myndigheder.


Hvad bør danske virksomheder gøre?


EDPB opstiller fem skridt, som organisationer bør tage for at forberede sig på et no-deal Brexit:

  • Identificer, hvilke behandlingsaktiviteter der indebærer overførsel af persondata til UK.

  • Afklar, hvilken løsning der er relevant som overførselsgrundlag i virksomhedens situation.

  • Sørg for at have den valgte løsning indarbejdet og klar til 30. marts 2019.

  • Angiv i virksomhedens interne dokumentation, at overførsler vil blive foretaget til UK.

  • Opdater virksomhedens privatlivspolitikker om dette for at informere de personer, der overføres oplysninger om.



Standardkontrakter og ad hoc-kontrakter om databeskyttelse


Den danske virksomhed og den britiske samarbejdspartner kan aftale at bruge standardkontrakter godkendt af EU-Kommissionen (Kommissionens standardkontrakter). Disse kontrakter giver de garantier med hensyn til databeskyttelse, der er nødvendige i tilfælde af overførsel af personoplysninger til ethvert tredjeland.

Der er i øjeblikket tre sæt standardkontrakter til rådighed. De to vedrører overførsel fra dataansvarlig til dataansvarlig, den sidste vedrører overførsel fra dataansvarlig til databehandler.

Ved brug af standardkontrakterne er det vigtigt at være opmærksom på, at standardbestemmelserne ikke må ændres, og at kontrakterne skal
underskrives som angivet.

Det er dog muligt at lade kontrakterne indgå i en større kontrakt. Der kan også tilføjes yderligere bestemmelser, hvis de ikke strider mod standardbestemmelserne.

Hvis man ændrer i standardbestemmelserne, indebærer det, at der bliver tale om en ad hoc-kontrakt. For at en ad-hoc kontrakt kan anvendes som grundlag for overførsel, skal den godkendes af det nationale datatilsyn efter en udtalelse fra EDPB.

BCR

BCR er databeskyttelsespolitikker, der udformes og overholdes af en multinational koncern med henblik på at tilvejebringe passende garantier for overførsel af personoplysninger også uden for EU inden for koncernen.

Hvis virksomheden allerede har en BCR, der er godkendt i henhold til det tidligere direktiv 95/46 /EF, er den fortsat er gyldig under GDPR og vil kunne anvendes som overførselsgrundlag. Dog skal en sådan BCR opdateres for at være fuldt ud i overensstemmelse med reglerne i GDPR.

Hvis en dansk virksomhed benytter en databehandler i UK, kan denne eventuelt være omfattet af BCR for databehandlere, som kan danne grundlag for overførslen.

Hvis virksomheden ikke har en BCR på plads, skal en eventuel ny BCR godkendes af den kompetente nationale tilsynsmyndighed efter en udtalelse fra EDPB.


Bech-Bruuns kommentarer


EDPB har med deres udmelding sat fokus på en udfordring for alle virksomheder, som overfører personoplysninger til Storbritannien.

Når virksomheden skal finde en egnet løsning, der kan anvendes allerede fra den 30. marts 2019, vil valget ofte falde på Kommissionens standardkontrakter uden ændringer.

Baggrunden er, at godkendelse af en ny BCR eller en ad-hoc kontrakt vil indebære en sagsbehandlingstid hos tilsynsmyndighederne, og det vil ikke være realistisk at nå det før 30. marts 2019.

Bech-Bruuns eksperter i persondataret er klar til at rådgive om valg af løsning og til at bistå med at få standardkontrakter på plads mellem den danske virksomhed og dens samarbejdspartnere i UK. Vi rådgiver også gerne om opdatering af privatlivspolitikker mv., så virksomhedens overførsler af personoplysninger til UK bliver omtalt.

 

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted