mail@stormadvokatfirma.dk | 72 30 12 05 | Vi har åbent man-tors 8-16, fre 8-15
EU-US Privacy Shield scc

GDPR: Brexit kan betyde ulovlige overførsler til UK

Persondataforordningens regler, GDPR, indeholder særlige krav for overførsel af personoplysninger til lande uden for EU som kan betyde, at både virksomheder og offentlige institutioner skal ændre deres måde at behandle data på inden den 31. oktober 2019.

Brexit-problematikken

Udgangspunktet i persondataforordningen er, at overførsel frit kan ske mellem EU- og EØS-lande, eller mellem et EU/EØS-land og et af EU-kommissionen særligt sikkerhedsgodkendt land.

Overføres der derimod personoplysninger fra et EU/EØS-land til et andet land – såkaldt ”usikker tredjeland” – skal den dataansvarlige opfylde nogle særlige betingelser, før overførsel bliver lovlig.

Den nuværende frist for Storbritanniens udtrædelse af EU er sat til den 31. oktober, og hvis Brexit gennemføres uden en særlig aftale med EU om overførsel af personoplysninger, vil UK således blive et usikkert tredjeland pr. 00.00 CET den 1. november 2019.

Dette kan betyde, at tidligere overførsler til UK fra dette tidspunkt bliver ulovlige, selvom overførslerne tidligere var fuldt ud lovlige.

Særlige krav om databehandling

Når man som dataansvarlig overfører data til andre lande – herunder hvis man anvender cloud- eller hosting ydelser lokaliseret i udlandet – stiller persondataforordningen særlige krav, medmindre det pågældende land er et EU-land eller er særligt godkendt.

Persondataforordningen opstiller i hovedtræk følgende værktøjer til brug for at sikre de krav, som skal opfyldes for at lovligøre overførsel af personoplysninger fra den dataansvarliges eget land til andre lande:

  • Standardiserede eller ad hoc databeskyttelsesklausuler godkendt af EU-kommissionen
  • Bindende virksomhedsregler
  • Codes of Conducts og certificeringsmekanismer
  • Undtagelse for særlige situationer (Derogations)

Der skal således tilvejebringes et særligt behandlingsgrundlag, og de i praksis mest almindeligt anvende databeskyttelsesaftaler vil som udgangspunkt ikke være tilstrækkelige.

Sådan forbereder du dig

Forberedelsen til en såkaldt no-deal Breixt kan med fordel inddeles i følgende steps:

  • Identificer om I har behandlinger, som indebærer overførsel af personoplysninger til UK.
  • Vurdering af det relevante værktøj til håndtering af overførslen.
  • Implementer det eller de valgte værkstøjer, klar til brug senest fra 1. november 2019.
  • Opdater relevante interne dokumenter i forhold til UK-overførslerne, fx Art. 30 fortegnelsen.
  • Opdater relevante eksterne dokumenter i forhold til UK-overførsler, fx privatlivspolitik.

Databeskyttelsesrådet (EDPB) har netop opdateret sin vejledning om håndtering af Brexit. Se vejledningen her (engelsk)

Har du brug for rådgivning om databeskyttelse og personfølsomme oplysninger, så kontakt os på telefon 72 30 12 05 .