Storbritannien bliver i tilfælde af en hård Brexit - altså en udmeldelse af EU uden en aftale, en no-deal - den 29. marts et tredjeland i persondataretlig forstand. Det betyder, at danske virksomheder, der overfører persondata til Storbritannien eller får persondata behandlet her, skal følge samme regler, som hvis data blev sendt til Indien, Australien eller Kina.
I hvert fald indtil EU-Kommissionen har vurderet, om Storbritannien kan tilbyde samme beskyttelsesniveau som i EU og dermed komme med i en særlig klub af EU-udpegede 'sikre lande', hvad angår persondata.
Der er fire essentielle europæiske garantier, som altid skal overholdes for enten at behandle EU-persondata på et særligt grundlag eller at blive kategoriseret som 'sikkert tredjeland'. De er udledt af praksis fra EU-Domstolen og Den Europæiske Menneskerettighedsdomstol og har følgende indhold: Kilde: DatatilsynetEUs borgerrettigheder ift. persondata
Udgangspunktet er altså, at de garantier og procedurer, som normalt gør sig gældende ved overførsel af personoplysninger til et tredjeland, skal følges efter 29. marts, hvor Brexit kan blive en realitet.
Den britiske informationssikkerhedskommissær (ICO), Elizabeth Denham, oplyser, at der findes flere veje til at sikre et juridisk gyldigt overførselsgrundlag, eksempelvis EU's standardbestemmelser om persondataoverførsel.
Ifølge Elizabeth Denham er målet, at Storbritannien bliver kategoriseret som et såkaldt 'sikkert overførselsland', altså et land, hvor EU-Kommissionen har konkluderet, at databeskyttelsen i det væsentlige svarer til den, som findes inden for EU.
Men at få dette stempel kræver det en vurdering fra kommissionen af behandlingen af persondata i landet - og den kan først gå i gang, når briterne er udtrådt af EU.
Og det er også en proces, der tager tid:
»Disse vurderinger og forhandlinger har normalt taget mange måneder,« skriver hun.
For sikre lande gælder det privilegium, at man uden videre kan videregive, behandle og overføre persondata til landet. De sikre lande er eksempelvis Schweiz, Argentina, New Zealand og Israel.
Hvis det britiske parlament vedtager den foreslåede EU-tilbagetrækningsaftale, kan virksomheder udveksle personoplysninger frem til 2020.
Datatilsynets vejledning om overførsel til tredjelande kan læses her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.