Hvordan påvirker Brexit overførslen af personoplysninger til og fra UK?
Hvis ikke der indgås en aftale mellem EU og UK, og der bliver tale om et såkaldt hårdt Brexit, vil UK fra den 30. marts 2019 være et tredjeland. Det vil få store konsekvenser for de danske virksomheder, der overfører personoplysninger til UK, hvis de ikke ønsker at komme i karambolage med EU’s databeskyttelsesregler, populært kaldet GDPR.
For at være rustet til et eventuelt hårdt Brexit bør danske virksomheder allerede på nuværende tidspunkt iværksætte følgende tiltag:
- Kortlægning af overførsler
Identificere de af din virksomheds databehandlingsaktiviteter, hvor der sker overførsel af personoplysninger til UK, eller hvor personoplysninger kan tilgås fra UK. - Overførselsgrundlag
Vælge hvilket overførselsgrundlag, der fremadrettet skal danne grundlaget for overførslen af oplysningerne til UK. Her kan I overveje at anvende bl.a. EU-kommissionens standardkontrakter, bindende virksomhedsregler og/eller undtagelsesbestemmelserne i GDPR . I praksis vil det mest anvendelige overførelsesgrundlag som oftest være EU-Kommissionens standardkontrakter. - Implementering af overførselsgrundlag
Sørge for at det valgte overførelsesgrundlag er korrekt implementeret forud for den 30. marts 2019. - Kontraktlige forpligtelser vedrørende overførsler til tredjelande
Sikre at den fortsatte overførsel af oplysninger til UK (med dets nye status som tredjeland) ikke er i strid med din virksomheds kontraktlige forpligtelser vedrørende overførsel af oplysninger til tredjelande f.eks. i eksisterende databehandleraftaler. Databehandleraftaler indeholder ofte en bestemmelse om, at overførsel af oplysninger til tredjelande kræver den dataansvarliges forudgående godkendelse. Hvis I i din virksomhed har indgået aftaler, der indeholder en sådan bestemmelse, vil I som udgangspunkt være forpligtet til at indhente den dataansvarliges forudgående godkendelse til dataoverførslen til UK som følge af, at UK efter et hårdt Brexit juridisk set vil være et tredjeland. - Fortegnelser
Opdatere din virksomheds fortegnelse(r) over behandlingsaktiviteter som henholdsvis dataansvarlig og databehandler samt øvrig intern dokumentation i nødvendigt omfang. - Informationsmeddelelser
Opdatere din virksomheds informationsmeddelelser til de registrerede i nødvendigt omfang, så de registrerede modtager den nødvendige information om, at deres personoplysninger behandles i et tredjeland.
Det Europæiske Databeskyttelsesråd har udsendt en vejledning om GDPR’s krav til dataoverførsler i tilfælde af et hårdt Brexit. Du finder vejledningen her.
Har du konkrete spørgsmål til, hvordan et hårdt Brexit påvirker behandlingen af personoplysninger i din virksomhed, er du altid velkommen til at kontakte en af vores persondataspecialister. Vores specialister er klar med råd og vejledning i forhold til valg og implementering af overførselsgrundlag, håndtering af kontraktlige forpligtelser, tilpasning af virksomhedens interne dokumentation og informationsmeddelelser mv.