Bech-Bruun samarbejde

Den længe ventede Brexit-aftale er endelig faldet på plads. Med databeskyttelsesretlige briller indebærer aftalen, at personoplysninger fra den. 1. januar 2021 og i en midlertidig periode på op til seks måneder, kan overføres til Storbritannien på samme vilkår som til EU- og EØS-lande.

Den 24. december 2020 indgik EU og Storbritannien den længe ventede Brexit-aftale. Aftalen er på 1.246 sider og spørgsmålet om overførsel af personoplysninger fandt heldigvis også vej til den lange aftale. Brexit-aftalen bringer således klarhed over en række vigtige forhold i relation til overførsel af personoplysninger fra EU til Storbritannien, men efterlader samtidig en række uafklarede spørgsmål.

Hvad ved vi?
Siden Storbritanniens udtræden af EU den 31. januar 2020 har en overgangsordning mellem parterne været gældende, hvor databeskyttelsesforordningen (GDPR) fortsat har fundet anvendelse. 

Overgangsordningen udløb den 31. december 2020. Men umiddelbart kan myndigheder og virksomheder, der overfører personoplysninger til Storbritannien, ånde lettet op – i hvert fald for en stund. Det fremgår således af Brexit-aftalen, at overførsler af personoplysninger fra EU til Storbritannien, i en periode på op til seks måneder, fortsat kan finde sted. Det skyldes, at EU er gået med til at sidestille Storbritannien med et EU/EØS-land. Overførsler af personoplysninger fra EU til Storbritannien i den pågældende periode, bliver altså ikke betragtet som overførsler til et tredjeland. Perioden på de maksimalt seks måneder begynder den 1. januar 2021. Det er dog en forudsætning for opretholdelse af overgangsperioden, at Storbritannien ikke ændrer dens nugældende databeskyttelseslovgivning, medmindre EU accepterer dette. 

Brexit - Bech-Bruun

Hvad ved vi ikke? 
Som nævnt bringer Brexit-aftalen stadig ikke fuld klarhed over reglerne for organisationers overførsel af personoplysninger fra EU til Storbritannien. 

Den ovenstående periode på de maksimalt seks måneder, kan derfor ende ud i to vidt forskellige scenarier. 

Scenarie 1 – sikkert tredjeland
Det første scenarie indebærer, at Storbritannien godkendes af EU-Kommissionen som et sikkert tredjeland. Godkendelsen fra EU-Kommissionen finder sted i form af en såkaldt ”tilstrækkelighedsaftale”. Hvis godkendelsen foreligger inden udløbet af overgangsperioden på de 6 måneder, vil organisationer allerede på dette tidspunkt frit kunne overføre personoplysninger fra EU til Storbritannien fremadrettet. 

Scenarie 2 – usikkert tredjeland 
I det andet scenarie vil Storbritannien efter overgangsperiodens udløb (dvs. fra den 1. juli 2021) være at betragte som et usikkert tredjeland. I så fald skal organisationer, der overfører personoplysninger til Storbritannien, iagttage de særlige regler i databeskyttelsesforordningens kapitel V. Det vil som udgangspunkt indebære anvendelse af de såkaldte Standard Contractual Clauses (”SCC”), medmindre en af de særlige undtagelsesbestemmelser i databeskyttelsesforordningens artikel 49 finder anvendelse. 

Du kan læse vores mere om overgangen til de nye SCC’er samt de nye krav til SCC’er på baggrund af Schrem II-sagen i vores to tidligere nyheder. 

Bech-Bruuns kommentarer
Både EU og Storbritannien har udtrykt et klart ønske om, at Storbritannien godkendes som et sikkert tredjeland. Sandsynligheden for at det ender ud i scenarie 1 virker derfor umiddelbart størst. Men hvis der er én ting ved Brexit, der er sikkert, så er det at intet er sikkert. Organisationer bør derfor forberede sig på, at scenarie 2 også kan blive en realitet. Hvis det sker, venter der et kæmpe arbejde for de organisationer, der overfører personoplysninger fra EU til Storbritannien. 

Bech-Bruuns databeskyttelsesretsteam har erfaring med og dybdegående viden om udarbejdelse af strategier vedrørende behandling af personoplysninger, herunder overførsel af personoplysninger til tredjelande, valg af overførselsgrundlag og bistand med at sikre gennemførsel og implementering af overførselsgrundlaget.