HR-jura Persondata

Brexit kan få stor betydning for behandling af persondata

23. februar 2018

Efter planen træder Storbritannien ud af EU fra marts 2019, og det kan få stor betydning for alle virksomheder, der har aktiviteter både i Storbritannien og i resten af EU. Det meddelte EU-kommissionen i starten af året.

Som det ser ud lige nu, forlader Storbritannien officielt EU den 30. marts 2019. Det kommer til at få en række konsekvenser for virksomheder og koncerner, der overfører persondata til og fra Storbritannien. Derfor kom EU-Kommissionen i starten af januar med en meddelelse, der beskriver, hvilke konsekvenser det vil få for disse virksomheder.

Konsekvensen af at Storbritannien træder ud af EU-samarbejdet er, at landet fremover vil være et ”tredje land”. Det betyder, at man som udgangspunkt ikke frit vil kunne overføre data mellem blandt andet Danmark og Storbritannien, medmindre at EU-Kommissionen godkender, at Storbritannien er et såkaldt sikkert tredjeland. En liste over de lande, der på nuværende tidspunkt er godkendt af Kommissionen, findes her.

Hvis ikke Storbritannien godkendes som et sikkert tredjeland, vil der ikke frit kunne overføres persondata til landet. Persondataforordningen giver i sådanne tilfælde en række alternative muligheder.

De permanente løsninger

Persondataforordningen indeholder fire alternative løsninger, som virksomheder kan bruge, når de skal overføre oplysninger til usikre tredjelande på mere permanent basis.

Hvis der er tale om en stor koncern med aktiviteter i flere (tredje)lande, kan koncernen indføre et sæt juridisk bindende regler godkendt af Datatilsynet, som skal gælde inden for koncernen. Såkaldte Binding Corporate Rules. Overførsler af persondata kan herefter frit ske inden for koncernen. Denne løsning er derfor yderst fordelagtig for internationale koncerner og deres HR-administration.

Er datamodtageren ikke en del af koncernen, kan man i stedet indgå en aftale på baggrund af en række standardbestemmelser udarbejdet af Kommissionen eller Datatilsynet. Det eneste krav herefter er, at man efterlever standardbestemmelserne. Datatilsynet har endnu ikke udarbejdet nogen standardbestemmelser, men Kommissionens standardbestemmelser kan findes her.

I andre tilfælde kan det måske bedre betale sig, at modtageren af oplysningerne i tredjelandet bliver certificeret af en godkendt certificeringsordning eller tiltræder et godkendt adfærdskodeks.

Enkeltstående overførsler

Er der tale om enkeltstående overførsler i konkrete situationer, kan det ikke nødvendigvis betale sig at benytte Binding Corporate Rules eller de andre løsninger ovenfor. Persondataforordningen giver i sådanne tilfælde mulighed for at bruge et særligt overførselsgrundlag. Det kan for eksempel være et konkret og informeret samtykke, hvis overførslen er nødvendig for at opfylde en kontrakt med datasubjektet, eller hvis det er nødvendigt for at forsvare eller gøre et retskrav gældende.

IUNO mener

Der er ingen tvivl om, at Brexit kommer til at få store konsekvenser for virksomheder med aktiviteter i både Storbritannien og i EU. Det er ikke til at vide, om Kommissionen kommer til at godkende Storbritannien som et sikkert tredjeland således, at man frit kan overføre data dertil. Hvorvidt dette vil ske vil i høj grad afhænge af de kommende politiske forhandlinger.

IUNO er derfor enig med Kommissionen i, at virksomheder, der har aktiviteter i Storbritannien, allerede nu bør begynde at overveje, hvordan de skal forholde sig, når Brexit bliver en realitet, hvis ikke Storbritannien bliver godkendt af EU-Kommissionen. Mange virksomheder har for eksempel allerede nu indsat Brexit-klausuler i deres databehandleraftaler, der sikrer at leverandørerne er forpligtet til at flytte data til EU i tilfælde af et Brexit uden særaftale på persondataområdet.

[EU-kommissionens meddelelse af 9. januar 2018]

Som det ser ud lige nu, forlader Storbritannien officielt EU den 30. marts 2019. Det kommer til at få en række konsekvenser for virksomheder og koncerner, der overfører persondata til og fra Storbritannien. Derfor kom EU-Kommissionen i starten af januar med en meddelelse, der beskriver, hvilke konsekvenser det vil få for disse virksomheder.

Konsekvensen af at Storbritannien træder ud af EU-samarbejdet er, at landet fremover vil være et ”tredje land”. Det betyder, at man som udgangspunkt ikke frit vil kunne overføre data mellem blandt andet Danmark og Storbritannien, medmindre at EU-Kommissionen godkender, at Storbritannien er et såkaldt sikkert tredjeland. En liste over de lande, der på nuværende tidspunkt er godkendt af Kommissionen, findes her.

Hvis ikke Storbritannien godkendes som et sikkert tredjeland, vil der ikke frit kunne overføres persondata til landet. Persondataforordningen giver i sådanne tilfælde en række alternative muligheder.

De permanente løsninger

Persondataforordningen indeholder fire alternative løsninger, som virksomheder kan bruge, når de skal overføre oplysninger til usikre tredjelande på mere permanent basis.

Hvis der er tale om en stor koncern med aktiviteter i flere (tredje)lande, kan koncernen indføre et sæt juridisk bindende regler godkendt af Datatilsynet, som skal gælde inden for koncernen. Såkaldte Binding Corporate Rules. Overførsler af persondata kan herefter frit ske inden for koncernen. Denne løsning er derfor yderst fordelagtig for internationale koncerner og deres HR-administration.

Er datamodtageren ikke en del af koncernen, kan man i stedet indgå en aftale på baggrund af en række standardbestemmelser udarbejdet af Kommissionen eller Datatilsynet. Det eneste krav herefter er, at man efterlever standardbestemmelserne. Datatilsynet har endnu ikke udarbejdet nogen standardbestemmelser, men Kommissionens standardbestemmelser kan findes her.

I andre tilfælde kan det måske bedre betale sig, at modtageren af oplysningerne i tredjelandet bliver certificeret af en godkendt certificeringsordning eller tiltræder et godkendt adfærdskodeks.

Enkeltstående overførsler

Er der tale om enkeltstående overførsler i konkrete situationer, kan det ikke nødvendigvis betale sig at benytte Binding Corporate Rules eller de andre løsninger ovenfor. Persondataforordningen giver i sådanne tilfælde mulighed for at bruge et særligt overførselsgrundlag. Det kan for eksempel være et konkret og informeret samtykke, hvis overførslen er nødvendig for at opfylde en kontrakt med datasubjektet, eller hvis det er nødvendigt for at forsvare eller gøre et retskrav gældende.

IUNO mener

Der er ingen tvivl om, at Brexit kommer til at få store konsekvenser for virksomheder med aktiviteter i både Storbritannien og i EU. Det er ikke til at vide, om Kommissionen kommer til at godkende Storbritannien som et sikkert tredjeland således, at man frit kan overføre data dertil. Hvorvidt dette vil ske vil i høj grad afhænge af de kommende politiske forhandlinger.

IUNO er derfor enig med Kommissionen i, at virksomheder, der har aktiviteter i Storbritannien, allerede nu bør begynde at overveje, hvordan de skal forholde sig, når Brexit bliver en realitet, hvis ikke Storbritannien bliver godkendt af EU-Kommissionen. Mange virksomheder har for eksempel allerede nu indsat Brexit-klausuler i deres databehandleraftaler, der sikrer at leverandørerne er forpligtet til at flytte data til EU i tilfælde af et Brexit uden særaftale på persondataområdet.

[EU-kommissionens meddelelse af 9. januar 2018]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Søren

Hessellund Klausen

Partner

Kathrine

Skøtt Jespersen

Advokat

Lignende nyt

logo
Persondata

13. december 2018

Databeskyttelse og hjemmearbejde

logo
Persondata

10. december 2018

Har du orienteret alle på virksomhedens medieliste?

logo
Persondata

6. december 2018

Ny vejledning om databeskyttelse i ansættelsesforhold

logo
HR-jura

6. december 2018

Lovforslag om ændring af aktieoptionsloven vedtaget

logo
HR-jura

29. november 2018

EU-domstolen: Arbejdsgivere skal aktivt sikre, at medarbejdere afholder ferie

logo
HR-jura

23. november 2018

Julefrokostens udfordringer