Handelsaftalens betydning for overførsler til UK

Med overgangsperiodens udløb den 31. december 2020 er UK nu EU-retligt et tredjeland, med alt hvad dertil hører af persondataretlige glæder og sorger.

Dette ville have betydet, at alle overførsler af persondata til UK fra den 1. januar 2021 skulle ske i overensstemmelse med GDPR, kapitel V, herunder de krav og anbefalinger fra det Europæiske Databeskyttelsesråd ("EDPB"), som fulgte i kølvandet på EU Domstolens afgørelse i C-311/18 Schrems II.

Med den nye handelsaftale er EU og UK dog blevet enige om en anden løsning, da det er aftalt, at overførsler af persondata fra EU til UK ikke vil blive anset som en overførsel af persondata til et tredjeland. Denne løsning gælder indtil Kommissionen har truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i UK (adequacy finding), jf. GDPR, art. 45. Dette skal ske senest den 1. maj 2021, men fristen vil dog automatisk forlænges indtil den 1. juli 2021, hvis der fortsat ikke er truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i UK, og ingen af parterne i øvrigt gør indsigelse mod en sådan forlængelse af perioden. 

Man kan derfor fra 1. januar 2021 og frem til 1. maj eller 1. juli 2021 overføre persondata til UK, som om UK var et EU-land.

Løsningen er dog betinget af, at UK ikke vedtager ændringer i egen databeskyttelseslovgivning, medmindre disse ændringer sker for at tilpasse sig EU-lovgivning på området. 

Aftalen mellem EU og UK undtager dermed virksomheder, myndigheder og organisationer fra de dele af GDPR, som vedrører overførsler af persondata til tredjelande, når man frem til senest den 1. juli 2021 overfører persondata til UK. Dette vedrører i al væsentlighed følgende dele af GDPR:

• GDPR, kapitel V - reglerne for overførsel af persondata til tredjelande, herunder overførselsgrundlag samt de krav og retningslinjer fra blandt andet EDPB, som fulgte i kølvandet Schrems II-sagen
• GDPR, art. 30.1.e og 30.2.c - oplistning af tredjelande i fortegnelsen
• GDPR, art. 13.1.f og 14.1.f - oplistning af tredjelande i privatlivspolitikker eller lignende

Det er undtagelsen fra GDPR, kapitel V, som har størst praktisk betydning. Man må dog ikke glemme GDPR, art. 30, samt art. 13-14, da bestemmelsernes krav om oplistning af tredjelande efter vores vurdering også er omfattet af "undtagelsen" i handelsaftalen mellem EU og UK.

Kravet om oplistning af tredjelande, hvortil der overføres persondata, som følger af ovennævnte bestemmelser, vil ligeledes komme til at gælde før eller senere - også hvis UK godkendes som et sikkert tredjeland. 

Vi anbefaler derfor, at man allerede nu påbegynder arbejdet med at få tilpasset sine fortegnelser og privatlivspolitikker med oplysninger om overførsler af persondata til UK.

Godkendelse som sikkert tredjeland - adequacy finding?

Mens de fleste virksomheder, myndigheder og organisationer har kunnet ånde lettet op den 24. december 2020, er det endnu uvist, hvordan fremtiden for overførsler af persondata til UK kommer til at se ud.

Særordningen vedrørende overførsler af persondata fra EU til UK er i handelsaftalen knyttet op på, at Kommissionen træffer afgørelse om tilstrækkeligheden af beskyttelsesniveauet i UK - og altså potentielt godkender UK som et sikkert tredjeland. 

Man skal her bemærke, at handelsaftalen ikke "binder" Kommissionen til en positiv konklusion - tværtimod skriver Kommissionen eksplicit andetsteds, at man fortsat står frit i sin vurdering. Særordningen giver blot Kommissionen tid til at foretage de nødvendige analyser og til at gennemføre den formelle proces for en eventuel godkendelse, herunder blandt andet at indhente en udtalelse fra EDPB.

Man kunne måske tro, at en godkendelse er en selvfølgelighed, da det set på overfladen - på det databeskyttelsesretlige område - ikke har haft betydning, at UK er udtrådt af EU, da UK blandt andet i det store hele har videreført GDPR som sin egen databeskyttelseslovgivning ("UK GDPR").

UK GDPR, som udgør noget nær en kopi af GDPR, vil dog kun være ét ud af flere forhold, som indgår i den vurdering, som Kommissionen skal foretage for at vurdere, om UK udgør et sikkert tredjeland. 

Det skal blandt andet også indgå i vurderingen, om der i UK er masseovervågning og myndighedsadgang til persondata eksporteret fra EU til UK, som betyder, at beskyttelsesniveauet for persondata ikke i det væsentlige lever op til niveauet inden for EU, herunder de Europæiske Essentielle Garantier, sådan som disse blev fortolket og anvendt i EU Domstolens afgørelse i Schrems II-sagen.

Skulle man være i tvivl, så er det her, at hunden ligger begravet, da myndighederne i UK på samme måde som myndighederne i USA har ganske vidtgående beføjelser vedrørende masseovervågning samt myndighedsadgang til persondata, herunder via UK Investigatory Powers Act 2016. 

Selv om man skal begynde et nyt år med en positiv tilgang til tilværelsen, så må man også være ærlig og sige, at der er en reel risiko for, at UK ikke godkendes som sikkert tredjeland. Selv det britiske datatilsyn ("ICO") har i en nyhed anbefalet, at man som en forebyggende foranstaltning forholder sig til konsekvenserne af en manglende godkendelse - se scenarie 2 nedenfor.

Det er i denne forbindelse vigtigt at holde sig for øje, at handelsaftalen mellem EU og UK i det væsentlige er baseret på politiske og økonomiske forhold, mens en godkendelse af UK som et sikkert tredjeland skal ske ud fra databeskyttelsesretlige forhold, herunder reglerne i UK om myndighedsadgang til persondata. 

Scenarie 1 - UK godkendes som sikkert tredjeland

Hvis UK godkendes et sikkert tredjeland, så kan man fortsat frit overføre persondata til UK, jf. GDPR, art. 45. Husk dog, som nævnt ovenfor, de nødvendige ændringer til privatlivspolitikker, jf. art. 13-14, og fortegnelser, jf. art. 30.

I lyset af både C-362/14 Schrems I og C-311/18 Schrems II er det vores vurdering, at en godkendelse af UK som et sikkert tredjeland af dataaktivister vil blive indbragt for EU Domstolen med henblik på en afgørelse vedrørende gyldigheden heraf. I den periode på 1-2 år, hvor sagen behandles ved EU Domstolen, vil godkendelsen dog stadig være i kraft, og retssagen vil derfor ikke have nogen praktisk betydning i perioden. 

Scenarie 2 - UK godkendes ikke som sikkert tredjeland

Hvis UK ikke godkendes som et sikkert tredjeland, jf. GDPR, art. 45, og undtagelsesordningen ikke forlænges, vil overførsler af persondata til UK herefter være at betragte som overførsel til et usikkert tredjeland.

Sådanne overførsler vil herefter kræve, at virksomheder, myndigheder og organisationer etablerer et overførselsgrundlag, jf. GDPR, kapitel V, herunder art. 46.

Det er vores vurdering, at Kommissionens standardkontraktbestemmelser ("SCCs"), jf. GDPR, art. 46, for de fleste vil udgøre det mest relevante overførselsgrundlag. 

Efter C-311/18 Schrems II og EDPBs opfølgende anbefalinger (pt. stadig i udkast)  stilles der imidlertid strenge krav til anvendelsen af SCCs. 

Hvis UK ikke kan godkendes som et sikkert tredjeland, så vil de samme "mangler" i UK lovgivning m.v., som er til hinder for godkendelsen, også have betydning for brugen af SCCs - og SCCs vil ikke i sig selv kunne legitimere overførsel af persondata til det usikre UK uden implementering af supplerende foranstaltninger til opnåelse af et samlet beskyttelsesniveau, som i det væsentlige svarer til beskyttelsesniveauet i EU, herunder de Europæiske Essentielle Garantier.

Man vil altså skulle vurdere, om det for hver enkelt overførsel af persondata er muligt at implementere supplerende foranstaltninger, som afhjælper de mangler, som UK lovgivning medfører. Dette svarer til de krav, som i dag gælder for alle andre ikke-godkendte tredjelande - og det kan man læse mere om i vores nyhed her.

EDPB har for nyligt offentliggjort sine anbefalinger om supplerende foranstaltninger, der var i offentlig høring indtil den 21. december 2020 - læs mere her.

Udpegelse af UK GDPR-repræsentant 

Mens hele spørgsmålet om overførsler af persondata fra EU til UK bestemt ikke er gået under radaren, er det nok ikke alle, der er opmærksomme på, at der med overgangsperioden ophør den 31. december 2020 indførtes nye krav om repræsentanter i UK for EU-virksomheder, herunder danske, såfremt 

1. virksomheden ikke er etableret i UK, og
2. behandler oplysninger om britiske registrerede, og
3. denne behandling enten vedrører målretning af varer eller tjenesteydelser mod britiske registrerede, eller overvågning af britiske registreredes adfærd i UK.

Kravet følger af den nye databeskyttelseslovgivning, UK GDPR, vedtaget af den britiske regering som følge af Brexit. UK GDPR er, som nævnt ovenfor, i det store hele identisk med GDPR, og kravet om udpegelse af en UK GDPR-repræsentant spejler således kravet om udpegelse af en EU-repræsentant i GDPR, art. 27. 

Der gælder visse undtagelser til udpegelse af UK GDPR-repræsentanter, men hvis din virksomhed skal udpege en UK GDPR-repræsentant, skulle udpegelsen formelt set være sket senest ved ikrafttrædelsen af UK GDPR den 31. december 2020. 

Du kan læse mere om UK GDPR-repræsentanter på ICOs hjemmeside. 

Plesner Persondata Team kan anbefale engelske advokater i vores netværk til opgaven som repræsentant, kontakt os blot.

Vejen frem…

Rigtig meget afhænger af, om Kommissionen godkender UK som et sikkert tredjeland. Indtil dette er afgjort, kan man bruge tiden på at afdække sine eksisterende overførsler af persondata til UK samt på at ajourføre sine privatlivspolitikker, jf. art. 13-14, og fortegnelser, jf. art. 30.

Plesner Persondata Team vil løbende følge op på de forskellige myndigheders udmeldinger, lige som vi vil afholde webinarer i regi af Plesner LegalHub.