Brexit means Brexit. Og ud kom de. Endelig. Så nu tør vi godt skrive lidt om, hvad Brexit betyder i forhold til databeskyttelsesreglerne.
I aftalen mellem EU og Det Forenede Kongerige/UK fremgår det, at 2020 er en overgangsperiode, hvor EUs regler fortsat gælder i UK. Se således artiklerne 126 – 127:
Artikel 126:
Der er en overgangs- eller gennemførelsesperiode, som starter på dagen for denne aftales ikrafttræden og slutter den 31. december 2020.
Artikel 127(1):
Medmindre andet er fastsat i denne aftale, finder EU-retten anvendelse på og i Det Forenede Kongerige i overgangsperioden.
Artikel 127(3):
I overgangsperioden har den EU-ret, som finder anvendelse i henhold til stk. 1, samme retsvirkninger over for og i Det Forenede Kongerige som i Unionen og dens medlemsstater, og den fortolkes og anvendes i overensstemmelse med de samme metoder og generelle principper, som finder anvendelse i Unionen.
Hvad gælder i overgangsperioden i 2020?
Alt er som det plejer at være. UK er ikke et tredjeland efter GDPR i 2020. Så du skal i 2020 eksempelvis ikke oplyse om, at du eventuelt overfører data til UK:
Während des Übergangszeitraums würde Großbritannien also nicht als Drittland im Sinne von Kapitel V DS-GVO gelten, so dass Verantwortliche oder Auftragsverarbeiter in der EU, die personenbezogenen Daten in den Inselstaat übermitteln, die einschlägigen Vorschriften nicht anwenden müssten.
Du skal heller ikke bruge EU-Kommissionens standardbestemmelser om databeskyttelse (Standard Contractual Clause) for at føre data til UK.
Hvad gælder efter overgangsperioden?
Da UK nu er ude af EU, kan EU gå i gang med at undersøge, om databeskyttelsen i UK er tilstrækkelig. Det fremgår af side 4 i “Political Declaration setting out the framework for the future relationship between the European Union and the United Kingdom” (fremhævet med fed):
The Union’s data protection rules provide for a framework allowing the European Commission to recognise a third country’s data protection standards as providing an adequate level of protection, thereby facilitating transfers of personal data to that third country. On the basis of this framework, the European Commission will start the assessments with respect to the United Kingdom as soon as possible after the United Kingdom’s withdrawal, endeavouring to adopt decisions by the end of 2020, if the applicable conditions are met.
I UK vil man samtidig sørge for, at det også er nemt at overføre personoplysninger til EU:
Noting that the United Kingdom will be establishing its own international transfer regime, the United Kingdom will in the same timeframe take steps to ensure the comparable facilitation of transfers of personal data to the Union, if the applicable conditions are met.
Med lidt held burde tingene passe sammen omkring årsskriftet 2021: EU har godkendt UK som et sikkert tredjeland, og UK har gjort det let at overføre personoplysninger til EU.
Sådan finder du ud af, om du har databehandling i UK i 2021
I hvert fald fortegnelser, risikovurderinger og oplysningsmeddelelser skal opdateres, hvis du efter 2021 har behandling i UK.
Hvis man sender personoplysninger til UK som dataansvarlig, burde det være ret enkelt at kortlægge: Har man modtagere, herunder datterselskaber, i UK eller ej?
Man kan som dataansvarlig også have behandling i UK gennem sine databehandlerkæder. Det kan være lidt knudret at finde ud af: Måske har underdatabehandleren ikke behandling af dine data i UK, men så kan det være, at underdatabehandlerens databehandler har det.
Ved det lejlighedsvise tilsyn med dine databehandlere kan du derfor bede om, at de oplyser, om de har kendskab til behandling i UK længere nede i behandlerkæden.
Det kan være ganske svært at komme til bunds i, om slutbehandleren behandler personoplysninger på dine vegne i UK eller ej. Bruges tilsynet imidlertid som værktøj, kan man da i hvert fald komme godt i gang – og det må kunne nås inden 2021.