Persondata: Er din virksomhed klar til Brexit?
Storbritannien træder ud af EU ved midnat dansk tid og trods vedtagelse af udtrædelsesaftalen, får Brexit utvivlsomt stor betydning for britiske virksomheder i Danmark og danske virksomheder med aktiviteter i Storbritannien og resten af EU. I dette nyhedsbrev ser vi nærmere på, hvad din virksomhed bør være opmærksom på inden for en række scenarier, når Storbritannien i aften skilles fra EU.
Europa-Parlamentet og -Rådet har netop sagt god for den omdiskuterede udtrædelsesaftale, og Storbritannien forlader dermed officielt EU ved midnat dansk tid i et mere eller mindre soft exit. Efter næsten fire års forhandlinger er det således lykkedes at godkende en udtrædelsesaftale, der blev stemt igennem Europa-Parlamentet med advarsler om, at Storbritanniens udtræden ikke er slutningen, og forhandlingerne om det fremtidige forhold blive vanskelige. Det skyldes navnlig den tidsramme, der udgør overgangsperioden i udtrædelsesaftalen, hvorefter de nuværende regler vil gælde fra i morgen den 1. februar til den 31. december 2020 med mulighed for yderligere to års forlængelse.
Udtrædelsesaftalen, der skal afvikle over 40 års medlemskab, er en bindende aftale, som har til opgave at sikre klarhed for begge sider inden for en række områder. Udover opgørelse og betalingsvilkår for Storbritanniens skilsmisseregning indeholder udtrædelsesaftalen også bestemmelser, der skal sikre en ordentlig udtræden på områder lige fra politisamarbejde til borgerrettigheder, fiskeri og retligt samarbejde. Brexit får dog uanset udtrædelsesaftalen stor betydning for virksomheder med aktiviteter i Storbritannien og andre lande, hvor britiske virksomheder indgår. Virksomheder bør derfor allerede nu være velforberedte og informerede om, hvilken betydning Brexit reelt får efter overgangsperiodens udløb og gøre sig klare overvejelser om, hvordan de forskellige konsekvenser bedst håndteres i praksis.
IUNO har som led i forberedelsen udarbejdet et overblik over et udsnit af de konsekvenser Brexit får inden for et ansættelsesretligt og persondataretligt perspektiv med fokus på, hvad virksomheder navnlig bør overveje, nu hvor Storbritannien ikke længere er en del af EU. Vi følger derudover forhandlingerne med Storbritannien vedrørende fremtidige forhold, der falder uden for udtrædelsesaftalen, tæt og vender løbende tilbage med opdateringer.
Tech & Data
Overfører din virksomhed persondata til og fra Storbritannien? Anvender I britiske databehandlere? Eller opbevarer I persondata via britiske tjenesteudbydere? Så får Brexit utvivlsomt stor betydning for jeres nuværende behandlingsaktiviteter og forudsætter en række ændringer af jeres nuværende dataflows.
Hvis det ikke var for udtrædelseaftalens vedtagelse, ville Storbritannien fra midnat dansk tid anses for et usikkert tredjeland under databeskyttelsesreglerne, og alle nuværende behandlingsaktiviteter ville som udgangspunkt være ulovlige. Overgangsperioden sikrer dermed, at eksisterende regler om overførsler vil gælde frem til tidligst den 31. december 2020 med mulighed for forlængelse i yderligere to år, hvis det etablerede fælles Udvalg for EU og Storbritannien træffer afgørelse herom før den 1. juli 2020. Med udtrædelseaftalens vedtagelse i sidste øjeblik er skrækscenariet for mange virksomheder dermed undgået, men selvom det ikke på nuværende tidspunkt vil være nødvendigt at foretage væsentlige ændringer i virksomhedens behandlingsaktiviteter, bør forberedelserne på overgangsperiodens udløb allerede påbegyndes nu.
Uanset at forberedelser af internationale dataflows fra Danmark til Storbritannien allerede internt kan iværksættes nu, for at sikre at de relevante aktiviteter har et overførselsgrundlag, vil EU-Kommissionen forsøge at sikre en endnu mere stabil overgang. Det sker ved, at EU-Kommissionen under overgangsperioden vil vurdere og træffe en tilstrækkelighedsafgørelse om, hvorvidt Storbritannien kan anses for et sikkert tredjeland. I bekræftende fald vil virksomheder - uden specifik godkendelse – fortsat kunne overføre persondata til Storbritannien. Anerkendelse vil væsentligt lette det administrative pres for virksomheder, der som konsekvens ikke behøver at foranstalte andre fornødne garantier såsom standardbestemmelser (SCCs), Binding Corporate Rules (BCRs), adfærdskodekser mv.
Det er vigtigt, at virksomheder er opmærksomme på, at selvom EU-Kommissionen ender med at godkende Storbritannien, der herefter kan tilslutte sig de øvrige 11 sikre tredjelande, kan der være tale om en langtidsudsigt. En række andre usikre tredjelande venter nemlig allerede i kø på selvsamme afgørelse fra EU-Kommissionen. Det er fortsat uklart om Storbritannien får lov til at springe foran i køen, hvis EU-Kommissionen overhovedet vælger at anse Storbritannien som et sikkert tredjeland i lyset af de høje krav under databeskyttelsesreglerne, blandt andet den væsentlige kritik, der er blevet fremsat om Storbritanniens omfattende masseovervågningslovgivning, taget i betragtning.
IUNO anbefaler derfor, at virksomheder allerede nu påbegynder interne forberedelser af fornødne garantier, i tilfælde af at EU Kommissionen afviser eller ikke står klar med en tilstrækkelighedsafgørelse ved overgangsperiodens udløb.
Permanente løsninger for fremtidige overførsler til Storbritannien
Databeskyttelsesreglerne indeholder fire overførselsmekanismer, som virksomheder fremover kan anvende, når de skal overføre personoplysninger til Storbritannien på mere permanent basis.
Hvis der er tale om en større koncern med aktiviteter i flere (tredje)lande, kan der indføres et sæt juridisk bindende regler, som gælder inden for koncernen. Når de såkaldte BCRs er indført, er det herefter muligt at facilitere dataflows internt i koncernen. Hvis modtageren imidlertid ikke er en del af koncernen, kan man i stedet vælge at indgå en aftale på baggrund af forskellige SCCs. Det eneste krav er herefter, at man efterlever standardbestemmelserne. I andre tilfælde kan det måske bedre betale sig, at modtageren af oplysningerne i Storbritannien bliver certificeret af en godkendt certificeringsordning eller tiltræder et godkendt adfærdskodeks.
Enkeltstående løsninger for fremtidige overførsler til Storbritannien
Når der er tale om enkeltstående overførsler i konkrete situationer, kan det dog ikke nødvendigvis betale sig at benytte de ovennævnte permanente løsninger. Databeskyttelsesreglerne giver i sådanne situationer nemlig mulighed for at bruge et særligt overførselsgrundlag. Det er eksempelvis overførsel på baggrund af et konkret og informeret samtykke, hvis overførslen er nødvendig for at opfylde en kontrakt med datasubjektet, eller hvis det er nødvendigt for at forsvare eller gøre et retskrav gældende.
Det står dermed klart, at virksomheder allerede nu bør have fastlagt, hvordan de skal forholde sig, når overgangsperioden udløber, hvis ikke Storbritannien anerkendes af EU-Kommissionen som et sikkert tredjeland. Læs mere, om hvordan IUNO kan hjælpe din virksomhed med at sikre compliance med databeskyttelsesforordningen, her.
Europa-Parlamentet og -Rådet har netop sagt god for den omdiskuterede udtrædelsesaftale, og Storbritannien forlader dermed officielt EU ved midnat dansk tid i et mere eller mindre soft exit. Efter næsten fire års forhandlinger er det således lykkedes at godkende en udtrædelsesaftale, der blev stemt igennem Europa-Parlamentet med advarsler om, at Storbritanniens udtræden ikke er slutningen, og forhandlingerne om det fremtidige forhold blive vanskelige. Det skyldes navnlig den tidsramme, der udgør overgangsperioden i udtrædelsesaftalen, hvorefter de nuværende regler vil gælde fra i morgen den 1. februar til den 31. december 2020 med mulighed for yderligere to års forlængelse.
Udtrædelsesaftalen, der skal afvikle over 40 års medlemskab, er en bindende aftale, som har til opgave at sikre klarhed for begge sider inden for en række områder. Udover opgørelse og betalingsvilkår for Storbritanniens skilsmisseregning indeholder udtrædelsesaftalen også bestemmelser, der skal sikre en ordentlig udtræden på områder lige fra politisamarbejde til borgerrettigheder, fiskeri og retligt samarbejde. Brexit får dog uanset udtrædelsesaftalen stor betydning for virksomheder med aktiviteter i Storbritannien og andre lande, hvor britiske virksomheder indgår. Virksomheder bør derfor allerede nu være velforberedte og informerede om, hvilken betydning Brexit reelt får efter overgangsperiodens udløb og gøre sig klare overvejelser om, hvordan de forskellige konsekvenser bedst håndteres i praksis.
IUNO har som led i forberedelsen udarbejdet et overblik over et udsnit af de konsekvenser Brexit får inden for et ansættelsesretligt og persondataretligt perspektiv med fokus på, hvad virksomheder navnlig bør overveje, nu hvor Storbritannien ikke længere er en del af EU. Vi følger derudover forhandlingerne med Storbritannien vedrørende fremtidige forhold, der falder uden for udtrædelsesaftalen, tæt og vender løbende tilbage med opdateringer.
Tech & Data
Overfører din virksomhed persondata til og fra Storbritannien? Anvender I britiske databehandlere? Eller opbevarer I persondata via britiske tjenesteudbydere? Så får Brexit utvivlsomt stor betydning for jeres nuværende behandlingsaktiviteter og forudsætter en række ændringer af jeres nuværende dataflows.
Hvis det ikke var for udtrædelseaftalens vedtagelse, ville Storbritannien fra midnat dansk tid anses for et usikkert tredjeland under databeskyttelsesreglerne, og alle nuværende behandlingsaktiviteter ville som udgangspunkt være ulovlige. Overgangsperioden sikrer dermed, at eksisterende regler om overførsler vil gælde frem til tidligst den 31. december 2020 med mulighed for forlængelse i yderligere to år, hvis det etablerede fælles Udvalg for EU og Storbritannien træffer afgørelse herom før den 1. juli 2020. Med udtrædelseaftalens vedtagelse i sidste øjeblik er skrækscenariet for mange virksomheder dermed undgået, men selvom det ikke på nuværende tidspunkt vil være nødvendigt at foretage væsentlige ændringer i virksomhedens behandlingsaktiviteter, bør forberedelserne på overgangsperiodens udløb allerede påbegyndes nu.
Uanset at forberedelser af internationale dataflows fra Danmark til Storbritannien allerede internt kan iværksættes nu, for at sikre at de relevante aktiviteter har et overførselsgrundlag, vil EU-Kommissionen forsøge at sikre en endnu mere stabil overgang. Det sker ved, at EU-Kommissionen under overgangsperioden vil vurdere og træffe en tilstrækkelighedsafgørelse om, hvorvidt Storbritannien kan anses for et sikkert tredjeland. I bekræftende fald vil virksomheder - uden specifik godkendelse – fortsat kunne overføre persondata til Storbritannien. Anerkendelse vil væsentligt lette det administrative pres for virksomheder, der som konsekvens ikke behøver at foranstalte andre fornødne garantier såsom standardbestemmelser (SCCs), Binding Corporate Rules (BCRs), adfærdskodekser mv.
Det er vigtigt, at virksomheder er opmærksomme på, at selvom EU-Kommissionen ender med at godkende Storbritannien, der herefter kan tilslutte sig de øvrige 11 sikre tredjelande, kan der være tale om en langtidsudsigt. En række andre usikre tredjelande venter nemlig allerede i kø på selvsamme afgørelse fra EU-Kommissionen. Det er fortsat uklart om Storbritannien får lov til at springe foran i køen, hvis EU-Kommissionen overhovedet vælger at anse Storbritannien som et sikkert tredjeland i lyset af de høje krav under databeskyttelsesreglerne, blandt andet den væsentlige kritik, der er blevet fremsat om Storbritanniens omfattende masseovervågningslovgivning, taget i betragtning.
IUNO anbefaler derfor, at virksomheder allerede nu påbegynder interne forberedelser af fornødne garantier, i tilfælde af at EU Kommissionen afviser eller ikke står klar med en tilstrækkelighedsafgørelse ved overgangsperiodens udløb.
Permanente løsninger for fremtidige overførsler til Storbritannien
Databeskyttelsesreglerne indeholder fire overførselsmekanismer, som virksomheder fremover kan anvende, når de skal overføre personoplysninger til Storbritannien på mere permanent basis.
Hvis der er tale om en større koncern med aktiviteter i flere (tredje)lande, kan der indføres et sæt juridisk bindende regler, som gælder inden for koncernen. Når de såkaldte BCRs er indført, er det herefter muligt at facilitere dataflows internt i koncernen. Hvis modtageren imidlertid ikke er en del af koncernen, kan man i stedet vælge at indgå en aftale på baggrund af forskellige SCCs. Det eneste krav er herefter, at man efterlever standardbestemmelserne. I andre tilfælde kan det måske bedre betale sig, at modtageren af oplysningerne i Storbritannien bliver certificeret af en godkendt certificeringsordning eller tiltræder et godkendt adfærdskodeks.
Enkeltstående løsninger for fremtidige overførsler til Storbritannien
Når der er tale om enkeltstående overførsler i konkrete situationer, kan det dog ikke nødvendigvis betale sig at benytte de ovennævnte permanente løsninger. Databeskyttelsesreglerne giver i sådanne situationer nemlig mulighed for at bruge et særligt overførselsgrundlag. Det er eksempelvis overførsel på baggrund af et konkret og informeret samtykke, hvis overførslen er nødvendig for at opfylde en kontrakt med datasubjektet, eller hvis det er nødvendigt for at forsvare eller gøre et retskrav gældende.
Det står dermed klart, at virksomheder allerede nu bør have fastlagt, hvordan de skal forholde sig, når overgangsperioden udløber, hvis ikke Storbritannien anerkendes af EU-Kommissionen som et sikkert tredjeland. Læs mere, om hvordan IUNO kan hjælpe din virksomhed med at sikre compliance med databeskyttelsesforordningen, her.
