Brexit nærmer sig, og det er endnu usikkert, om det ender med en aftale, eller om vi får et hårdt Brexit / en no deal Brexit.
Overfører du som dataansvarlig eller databehandler personoplysninger til Storbritannien, skal du i tilfælde af et hårdt Brexit være opmærksom på, at Storbritannien pr. 30. marts 2019 bliver et usikkert tredjeland i relation til sådanne overførsler. Det vil sige, at du har brug for et såkaldt overførselsgrundlag i henhold til databeskyttelsesforordningen.
Nu har Datatilsynet lavet en oversigt over konsekvenserne af de forskellige Brexit-scenarier, og sammen med de øvrige europæiske datatilsyn lavet en kort orientering om, hvad et hårdt Brexit betyder i forhold til overførsel af personoplysninger til Storbritannien fremover.
Nedenfor får du et kort overblik over de tre mulige scenarier, og hvad de hver især kan have af betydning for overførsel af personoplysninger til Storbritannien.
1. En aftale med EU falder på plads inden 29. marts 2019
Hvis en aftale mellem EU og Storbritannien falder på plads inden 29. marts 2019, vil der i en overgangsperiode frem til 31. december 2020 gælde de samme regler omkring overførsel af personoplysninger til Storbritannien som i dag. Det vil sige, at overførsel af personoplysninger til Storbritannien kan ske på samme vilkår som til EU- og EØS-lande, og du behøver derfor ikke på nuværende tidspunkt foretage dig noget.
Den politiske aftale, som den ser ud p.t., lægger op til, at der i overgangsperioden kan forhandles om godkendelse af Storbritannien som et sikkert tredjeland. Sker dette, vil overførsel af personoplysninger til Storbritannien efter udløbet af overgangsperioden kunne ske på dette grundlag, og så vil du også til den tid kunne overføre oplysninger som i dag.
2. Storbritannien trækker Brexit tilbage
EU-Domstolen bekræftede den 10. december 2018, at Storbritannien ensidigt kan stoppe Brexit-processen. I så fald fortsætter Storbritannien som EU-medlem, og overførsel af personoplysninger kan derfor ske som hidtil.
3. Ingen aftale med EU før 29. marts 2019, en såkaldt "hård Brexit"
Kommer der ikke en aftale på plads mellem EU og Storbritannien inden 29. marts 2019, og har Storbritannien heller ikke inden da trukket Brexit tilbage, er Storbritannien fra 30. marts 2019 ikke længere medlem af EU og er herefter at anse for et såkaldt tredjeland.
Det betyder, at det kun er muligt at overføre personoplysninger til Storbritannien i det omfang du har et overførselsgrundlag i henhold til databeskyttelsesforordningens kapitel V. Den 12. februar 2019 vedtog Databeskyttelsesrådet en vejledning om fremgangsmåden for overførsel af personoplysninger til Storbritannien i denne situation. Læs Databeskyttelsesrådets vejledning her.
I Datatilsynets vejledning om overførsel af personoplysninger til tredjelande kan du også læse generelt om overførsel af personoplysninger til tredjelande.
Hvad skal du gøre nu?
Hvis du overfører personoplysninger til Storbritannien, skal du kort fortalt:
få kortlagt hvilke personoplysninger, du overfører til Storbritannien og den kontekst oplysningerne overføres i (sker overførslen til en dataansvarlig eller en databehandler, og er din organisation en del af en koncern?)
Undersøge hvilket overførselsgrundlag som kan komme på tale for dig i tilfælde af at Storbritannien bliver et usikkert tredjeland pr. 30. marts 2019
Implementere det valgte overførselsgrundlag med henblik på at have det klart 30. marts 2019
Opdatere relevant intern og ekstern kommunikation i forhold til at du fremover overfører personoplysninger til Storbritannien som tredjeland.
Kilde: Datatilsynet
Sverige
