Brexit: Overførsel af personoplysninger til Storbritannien

Siden den 31. januar 2020 har Storbritannien stået uden for EU-samarbejdet, men på grund af den overgangsperiode, der blev vedtaget som en del af aftalen mellem EU og Storbritannien vedrørende Brexit, har virksomheder, myndigheder og organisationer etableret indenfor EU/EØS fortsat kunne overføre personoplysninger til Storbritannien som hidtil. 

Overgangsperioden udløb den 31. december 2020, men EU og Storbritannien nåede den 24. december 2020 til enighed om en handelsaftale, som blandt andet indeholder bestemmelser vedrørende overførsler af personoplysninger fra EU til UK. 
 

Handelsaftalens betydning – den nye overgangsperiode

Handelsaftalen indfører en ny overgangsperiode, hvilket blandt andet betyder, at overførsler af personoplysninger til Storbritannien fortsat kan ske som om, at Storbritannien var medlem af EU, indtil den nye overgangsperiode udløber. Storbritannien vil derfor endnu ikke blive betragtet som et tredjeland i databeskyttelsesretlig henseende.

Løsningen vedrørende overførsler af personoplysninger til Storbritannien gælder, indtil EU-kommissionen har truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet (dvs. hvorvidt Storbritannien har et tilstrækkeligt databeskyttelsesniveau på højde med GDPR). Dette skal ske senest den 1. maj 2021, men fristen vil dog automatisk forlænges indtil den 1. juli 2021, hvis der fortsat ikke er truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i Storbritannien, og ingen af parterne i øvrigt gør indsigelse mod en sådan forlængelse af perioden. 
 

Udløb af den nye overgangsperiode

Vedtages tilstrækkelighedsafgørelsen inden udløbet af den nye overgangsperiode, vil overførsel af personoplysninger til Storbritannien betragtes som overførsel til et sikkert tredjeland efter GDPR. Der vil derfor kunne overføres personoplysninger på samme vilkår som til EU-lande.

Hvis EU-Kommissionen ikke vedtager tilstrækkelighedsafgørelsen inden udløbet af den nye overgangsperiode, vil Storbritannien blive betragtet som et usikkert tredjeland. I dette tilfælde skal reglerne om overførsel af personoplysninger til tredjelande i GDPR iagttages. Lovlig overførsel til usikre tredjelande kan ske i medfør af art. 46. Det kan f.eks. ske ved brug af:  

1. EU-Kommissionens standardkontrakter (SCC’er)
2. Bindende virksomhedsregler for koncernforbundene selskaber

NJORDs bemærkninger

På nuværende tidspunkt afventer vi EU-kommissionen, og hvorvidt de fastslår, at Storbritannien har et tilstrækkeligt beskyttelsesniveau.

NJORD anbefaler dog, at virksomheder og myndigheder allerede nu sikrer sig et overblik over de overførsler, der foretages til Storbritannien og forbereder sig på, hvordan overførsler til Storbritannien fremadrettet kan ske, i tilfælde af, at tilstrækkelighedsafgørelsen ikke vedtages, inden overgangsperioden udløber, eller at Storbritannien ikke kan godkendes som sikkert tredjeland. 

Man kan ligeledes påbegynde arbejdet med at få tilpasset sine fortegnelser og privatlivspolitikker med oplysninger om overførsler af personoplysninger til Storbritannien, da kravet om oplistning af tredjelande, hvortil der overføres personoplysninger, kommer til at gælde – også hvis Storbritannien godkendes som et sikkert tredjeland.