Den persondataretlige vinkel af Brexit

Databeskyttelseslovgivningen kan komme til at sætte en kæp i hjulet for handel mellem EU og Storbritannien efter Brexit, og virksomheder bør være opmærksomme på udviklingen.

EU-Kommissionen får i disse måneder sendt et hav af meddelelser rundt til virksomheder og institutioner, som berøres af Brexit. En af disse meddelelser var en kærlig påmindelse om konsekvensen af Brexit i persondataretlig regi både i lyset af Persondatadirektivet såvel som Persondataforordningen.

Handel og personoplysninger går i mange henseender hånd i hånd, og når Storbritannien træder ud af EU, bliver de anset for at være et tredjeland. Det betyder, at overførsler af personoplysninger som hovedregel bliver forbudt, medmindre visse lovmæssige standarder sikres i Storbritannien efter Brexit.

I Persondataforordningen såvel som i det nugældende Persondatadirektiv er der flere grundlag, som tillader overførsler af personoplysninger til tredjelande. Den simpleste af disse – men den for de fleste lande sværeste at opnå – er en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som kan afgives af EU-Kommissionen. En sådan tilstrækkelighedsafgørelse tillader, at man kan sende persondata mellem tredjelandet og EU, som hvis tredjelandet havde befundet sig i EU. Afgørelsen afsiges kun, hvis det vurderes, at tredjelandet sikrer et tilstrækkeligt beskyttelsesniveau i EU-kommissionens øjne. Der er på nuværende tidspunkt kun 12 af disse tilstrækkelighedsafgørelser i spil.

Andre af Persondatadirektivets eller Persondataforordningens grundlag for overførelser af personoplysninger til tredjelande er krævende, og fungerer primært kun i systematisk kommerciel regi. De egner sig ikke til at dække alle situationer, og det medfører, at små selskaber får langt sværere ved at anvende disse, hvilket kan skade forretning imellem EU og Storbritannien. Hertil kommer Persondataforordningens trussel om bøder på op til det højeste af enten 20 mio. EUR eller 4 pct. af en virksomheds omsætning, ved tilsidesættelse af reglerne om overførelser til tredjelande. Man er altså nødt til at træde varsomt efter Brexit, hvis man sender personoplysninger til den anden side af Nordsøen. Det anbefales, at man forbereder sig løbende, som nye informationer bliver tilgængelige.

En usikker fremtid
Brexit bliver dog først aktuelt efter Persondataforordningens ikrafttræden den 25. maj 2018. Storbritannien har altså en periode, hvor de er forpligtet til at indføre national lovgivning, som sikrer forordningens krav. Det må derfor forventes, at Storbritannien er en kandidat til at opnå en tilstrækkelighedsafgørelse. Og så ville alt jo være godt og vel. Men det er en politisk proces at få en tilstrækkelighedsafgørelse afsagt og ikke nødvendigvis en hurtig en. Storbritannien har været en integreret del af det indre marked i EU i så langt tid, at de forretningsmæssige samarbejder mellem Storbritannien og EU-lande taler for at en tilstrækkelighedsafgørelse afsiges, så der foreligger en så kort som muligt eller slet ingen mellemperiode, hvor Brexit er trådt i kraft, og Storbritannien er at anse som et tredjeland uden en tilstrækkelighedsafgørelse.

Hvis den afsiges, er den herefter underlagt EU-domstolens kompetence, hvilket betyder, at den kan erklæres ugyldig og derved sættes ud af drift. Det skete bl.a. med EU-USA afgørelsen i oktober 2015 og den tilstrækkelighedsafgørelse, som trådte i stedet for denne er under angreb i sagen T-738/16.

Så helt sikkert er det, at vi træder en mere ustabil fremtid i møde, som indledningsvist bliver båret af politiske overvejelser og hensyn. Hvis der afsiges en tilstrækkelighedsafgørelse på baggrund af Persondataforordningen, skal Storbritanniens lov og retspraksis løbende overholde en meget flydende standard, og går det galt, vil tilstrækkelighedsafgørelsen kunne underkendes.

DATA, Marcus Jensen, stud.jur.