Denne artikel er bragt i fagbladet “Danske revisorer” i December 2020

GDBREXIT

– hvad gør du?

Selvom de fleste nok håber, at Storbritannien godkendes som et sikkert tredjeland af EU, er det langt fra sikkert, at det sker. EU arbejder aktuelt på at vedtage en sådan afgørelse inden årets udgang, så alle kan fortsætte uændret. Men det kræver, at Storbritannien opfylder en række betingelser.

Storbritannien har anerkendt, at engelske virksomheder i rollen som dataansvarlige uden problemer kan bruge EU-databehandlere indtil udgangen af 2024, hvor aftalen skal fornyes.

Men dataansvarlige virksomheder i EU kan ikke bruge engelske databehandlere, hvis Storbritannien ikke godkendes som et sikkert tredjeland af EU senest når rådhusklokkerne kimer den 31. december i år.

Ved et hårdt Brexit bliver Storbritannien nemlig et helt almindeligt tredjeland, og bliver som sådan underlagt de samme regler efter den 1. januar 2021.

Nye krav til hjemmel

I så fald skal danske virksomheder, der ønsker at overføre persondata til (en databehandler i) Storbritannien have speciel hjemmel (lovligt grundlag) til at overføre data – og her er der følgende muligheder:

  • Kommissionens standardkontrakter SCC (Standard Contract Clauses)
  • Bindende Virksomhedsregler
  • Standardbestemmelser om databeskyttelse
  • Godkendt adfærdskodeks sammen med et bindende tilsagn
  • En godkendt certificeringsmekanisme sammen med et bindende tilsagn

Det letteste er at vælge en SCC standardkontrakt, men også de bindende virksomhedsregler, der ligesom de to sidste punkter skal være godkendt af Datatilsynet, er en relativ overkommelig måde at sikre den lovpligtige hjemmel.

Gode råd til rettidig omhu

I worst case scenario kan dette få voldsomme følger for de virksomheder, der ikke er ordentlig forberedt, og derfor er det en god idé at overveje følgende tiltag:

  1. Gennemgå aktuelle Bindende Virksomhedsregler for at sikre, at de stadig kan bruges efter den 1. januar 2021
  2. Kortlæg hvilke personoplysninger, I overfører til Storbritannien
  3. Kortlæg hvilke it-systemer, I anvender ved overførslen
  4. Kortlæg den kontekst, oplysningerne overføres i. Er det fx til en dataansvarlig eller en databehandler?
  5. Opdatér medarbejderinstrukser og eksterne aftaler med it-leverandører
  6. Find ud af, om fremtidige overførsler af personoplysninger til Storbritannien er i overensstemmelse med EU’s databeskyttelseslovgivning – uanset udfald.

Med ovenstående tiltag, er der lidt større chance for, at Brexit kommer til at forløbe lidt blødere end ellers for jeres virksomhed. I hvert fald hvad angår GDPR.