27. februar 2019

Konsekvenser af Brexit for opbevaring af persondata

Et eventuelt hårdt Brexit betyder, at Storbritannien, inkl. Nordirland, ikke længere kan betragtes som et sikkert land at opbevare persondata i. I denne situation skal kommunerne træffe særlige foranstaltninger.

Overførselsgrundlag er nødvendigt ved et hårdt Brexit

Ender forhandlingerne mellem Storbritannien og EU med et såkaldt "hårdt Brexit", skal kommunerne have gået deres databehandleraftaler igennem. Et hårdt Brexit er den situation, hvor der ikke indgås en aftale om, at Storbritannien i et vist omfang fortsat følger EU-lovgivningen. Indtræffer der et hårdt Brexit, vil Storbritannien i medfør af reglerne i databeskyttelsesforordningen være at betragte som et såkaldt "tredjeland", som kommunerne ikke umiddelbart kan overføre persondata til.

Læs mere om konsekvenserne af de forskellige Brexit-scenarier i Datatilsynets nyhedstekst.

Hvis kommunerne ved et hårdt Brexit har databehandlere, som opbevarer eller på anden måde behandler kommunens persondata i Storbritannien, fx via en cloudløsning eller underdatabehandlere, skal kommunen kontakte den pågældende leverandør.

Har kommunen anvendt KL og KOMBIT's standardskabelon til databehandleraftalen med den pågældende leverandør, vil det fremgå af aftalens "Bilag 2 – Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere)" i hvilke lande kommunens persondata behandles.

Kommunen skal sikre sig, at der foreligger et såkaldt "overførselsgrundlag" for overførslen.

Dette vil typisk være, at der er indgået en særlig standardkontrakt med leverandøren. Er det databehandlerens underdatadatabehandler, som behandler persondata i Storbritannien, kan kommunen som dataansvarlig bemyndige deres databehandler til at indgå standardkontrakten med underdatabehandleren på kommunens vegne.

Kommunerne skal anvende den standardkontrakt, der hedder decision 2010/87/EU, som kan hentes på EU Kommissionens hjemmeside. Gå til siden her.

Mere information om denne standardkontrakt kan læses i Artikel 29-gruppens WP176.

Det Europæiske Databeskyttelsesråd har desuden udarbejdet en generel vejledning om fremgangsmåden for overførsel af persondata til Storbritannien ved et hårdt Brexit, som kan læses her.