Nej til overførsler af personoplysninger til Storbritannien?

Virksomheder og offentlige institutioner, der overfører personoplysninger mellem Storbritannien og et EU-land, skal forberede sig på at overførelserne for fremtiden bliver langt mere komplicerede. EU-Kommissionen publicerede nemlig den 19. januar d.å. en udtalelse om, at Storbritannien bliver et tredjeland i persondataretlig forstand.

Brexit afføder dermed endnu en konsekvens. En konsekvens af persondataretlig karakter, da både det nuværende Databeskyttelsesdirektiv samt fremtidige Persondataforordning indeholder strenge krav til overførsler til tredjelande. Forenklet betyder det, at overførsler af personoplysninger, som hovedregel bliver forbudt, medmindre at du har et hjemmelsgrundlag på plads efter Brexit.

Formålet med forbuddet er at sikre, at databeskyttelsen som de registrerede er sikret i EU efter Persondataforordningen ikke bliver illusorisk, blot fordi personoplysningerne overføres til virksomheder, institutioner eller lignende uden for EU´s grænser.

Benyttelsen af produktionsfaciliteter, varelagere, servere, samarbejdspartnere, ansatte osv. i Storbritannien er dermed blevet områder, der kan give anledning til juridiske udfordringer efter Persondataforordningen, da disse funktioner oftest indeholder indsamling, opbevaring og videregivelse af personoplysninger, altså behandling af personoplysninger, der er omfattet af Persondataforordningens anvendelsesområde.

Imidlertid indeholder Persondataforordningen, såvel som det nugældende Databeskyttelsesdirektiv, flere behandlingsgrundlag, som tillader overførsler af personoplysninger til tredjelande. Det drejer sig bl.a. om: 1) afgørelse om tilstrækkelighed af beskyttelsesniveauet, 2) Retligt bindende instrumenter (aftaler mv.) mellem offentlige myndigheder eller organer, 3) bindende virksomhedsregler, 4) adfærdskodeks og certificeringsmekanismer, 5) standardbestemmelser om databeskyttelse og 6) ad hoc-kontrakter.

Den enkleste for virksomheder, men den for tredjelandene sværeste at opnå, er en EU-afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som kan afgives af EU-Kommissionen efter art 45. En sådan afgørelse tillader, at virksomheder m.v. overfører personoplysninger mellem det pågældende tredjeland og et eller flere EU-lande. Afgørelsen afsiges kun, hvis det vurderes, at tredjelandet sikrer et tilstrækkeligt beskyttelsesniveau i EU-kommissionens øjne. Der er på nuværende tidspunkt kun afgivet 12 af disse tilstrækkelighedsafgørelser.

Andre af Persondataforordningens grundlag for overførelser af personoplysninger til tredjelande er krævende, og fungerer primært kun i systematisk kommerciel regi. De egner sig ikke til at dække alle situationer, og det medfører, at små selskaber får langt sværere ved at anvende disse, hvilket kan skade forretning mellem EU og Storbritannien.

Hertil kommer Persondataforordningens sanktioner, fx det høje bødeniveau på op til €20 mio. eller 4 pct. af en virksomheds årlige globale omsætning, ved tilsidesættelse af reglerne om overførelser til tredjelande. Det tal, der er størst. Store, som små virksomheder er altså nødt til at træde varsomt efter Brexit, hvis man sender personoplysninger til den anden side af Nordsøen.

Brexit bliver dog først aktuelt efter Persondataforordningens ikrafttræden den 25. maj 2018. Storbritannien har altså en periode, hvor de er forpligtet til at indføre national lovgivning, som sikrer forordningens krav indtil Brexit bliver en realitet. Det må derfor forventes, at Storbritannien er kandidat til at opnå en tilstrækkelighedsafgørelse. Men det er en politisk proces at få en tilstrækkelighedsafgørelse afsagt og ikke nødvendigvis en hurtig en.

Storbritannien har været en integreret del af det indre marked i EU i så langt tid, at de forretningsmæssige samarbejder mellem Storbritannien og EU-lande taler for at en tilstrækkelighedsafgørelse afsiges, så der foreligger en så kort som muligt eller slet ingen mellemperiode, hvor Brexit er trådt i kraft, og Storbritannien er at anse som et tredjeland uden en tilstrækkelighedsafgørelse.

Hvis den afsiges, er den herefter underlagt EU-domstolens kompetence, hvilket betyder, at den kan erklæres ugyldig og derved sættes ud af drift. Det skete bl.a. med EU-USA afgørelsen i oktober 2015 og den nye tilstrækkelighedsafgørelse, som trådte i stedet for denne er nuværende under angreb i sagen T-738/16.

Så helt sikkert er det, at vi træder en mere ustabil fremtid i møde. Hvis der afsiges en tilstrækkelighedsafgørelse på baggrund af Persondataforordningen, skal Storbritanniens lov og retspraksis løbende overholde en meget flydende standard, og går det galt, vil tilstrækkelighedsafgørelsen kunne underkendes, hvilket vil være tilbage til start.

LOU Advokatfirmas persondataretsafdeling følger løbende udviklingen.