Det er mere end et år siden, vi offentliggjorde vores sidste artikel om Brexit (på engelsk), og det siger sig selv, at meget har ændret sig siden da! Denne gang ser vi på, hvad Brexit betyder for GDPR-lovgivningen, og hvordan det påvirker virksomheder, der opererer i Storbritannien og Europa.
Brexit-overgangsperioden sluttede den 31. december 2020, og mens EU GDPR ikke længere finder direkte anvendelse i Storbritannien, blev den vedtaget som national ret med adskillige ændringer for at sikre, at den kan anvendes i Storbritannien. Denne ændrede version, kaldet ”UK GDPR”, regulerer nu behandlingen af data i Storbritannien. Som angivet i ICO’s ofte stillede spørgsmål vedrørende afslutningen på overgangsperioden finder andre regler såsom PECR og NIS stadig anvendelse i Storbritannien.
Men hvad betyder det for virksomhederne? Ifølge en nylig artikel fra Osborne Clarke har både EU GDPR og UK GDPR udenlandsk effekt, og virksomheder er nødt til at tænke over den indvirkning, som de to ordninger har på deres datastrømme, fortegnelser over behandling, kontrakter, politikker og procedurer samt kravene om at udnævne EU-repræsentanter for databeskyttelse.
Mange virksomheder vil være underlagt begge GDPR-ordninger, da både EU GDPR- og UK GDPR-lovgivning har udenlandsk rækkevidde. Hvis I har kontor i f.eks. både EU og Storbritannien, vil I derfor være underlagt begge ordninger. Selvom EU GDPR og UK GDPR stort set er parallelle, forbliver de adskilt, og virksomhederne skal derfor være indstillede på at overholde begge sæt databeskyttelsesregler.
En af de umiddelbare ændringer som følge af vedtagelsen af UK GDPR-ordningen er, at mange organisationer skal ajourføre deres kontrakter og politikker. Osborne Clarke’s rapport om emnet nævner, at forventningen er, at ICO, når tiden er inde, vil godkende nye standardkontraktklausuler, der sandsynligvis gentager og tilpasses til det nye udkast til standardkontraktklausuler, der blev offentliggjort af Europa-Kommissionen i november 2020.
Når man overvejer nye kontrakter og politikker, er papirarbejde sandsynligvis det første man tænker på! For en virksomhed med kontor i EU og Storbritannien kan dette være ensbetydende med en mangedobling af papirarbejdet, hvis det er nødvendigt at oversætte disse dokumenter til hvert at de lande, man driver virksomhed i. Vores eksperter i juridisk oversættelse står klar til at hjælpe jer gennem processen, er til rådighed 24/7 og kan give jer et tilbud inden for en time.
Afhængigt af omstændighederne er det muligt, at virksomhederne har et yderligere juridisk ansvar. I de kommende måneder kan det blive nødvendigt for organisationer at udnævne særskilte databeskyttelsesrådgivere for EU og Storbritannien. Virksomhederne bør også sikre, at deres fortegnelser, databeskyttelsespolitikker og kontrakter er ajourført for at afspejle Storbritanniens position uden for EU.
I ugerne op til Brexit var der stor usikkerhed omkring, hvad en ”no deal” ville betyde for GDPR og de virksomheder, der skal overføre data mellem EU og Storbritannien. EU mangler endnu at beslutte, om Storbritannien tilbyder et tilstrækkeligt niveau af databeskyttelse, men heldigvis gennemføres der med aftalen om handel og samarbejde mellem EU og Storbritannien en midlertidig løsning, der giver EU mere tid til at træffe en afgørelse. Med aftalen er det lovligt at overføre data i en periode på op til seks måneder fra den 1. januar 2021. Som DLA Piper konkluderede i deres rapport om overførsel af data mellem EU og Storbritannien vil de tilsagn, der skal gives, sammen med overgangsperioden på seks måneder, være kærkomne nyheder i erhvervslivet og bør skabe tilstrækkelig tillid til at forvente, at der findes en løsning inden for kort tid. På den anden side har Storbritannien allerede bekræftet, at landet betragter EU-medlemsstaterne som tilstrækkelige, og at datastrømme kan fortsætte uden yderligere ændringer. Det er gode nyheder for både europæiske og britiske virksomheder.
Selv om GDPR-ordningerne stort set er ens i EU og Storbritannien, er der afslutningsvis stadig et par punkter, man skal huske på med hensyn til databeskyttelsespolitikker og -procedurer. Hvis jeres virksomhed har brug for hjælp til oversættelse af juridiske dokumenter, er I velkommen til at kontakte os.