Du har næsten helt sikkert bemærket, at Storbritannien for tiden kæmper med sit medlemskab af den Europæiske Union. Man kan næsten ikke tænde for nyhederne uden at høre om Brexit.

Hvis din forretning ikke omfatter samhandel eller andre relationer til engelske virksomheder, så tænker du sikkert at det ikke er noget du behøver bekymre dig om – men det skal du måske alligevel.

Usikkert tredje-land?

Vi vil gerne holde os langt fra at spå om hvad udfaldet bliver, men rent principielt kan det gå hen og ende med et såkaldt “hårdt Brexit”, det vil sige en udmelding uden aftaler. Det vil snart vise sig; den officielle skæringsdato er den 12. april – men hvis udgangen bliver “hård”, så bliver Storbritannien til dét der ifølge GDPR kategoriseres som “usikkert tredje-land” fra den ene dag til den anden.

Det betyder næsten helt sikkert ikke at fortsat brug af engelske datacentre bliver i strid med reglerne på området; man vil formentlig stadig overholde GDPR, alene for at kunne få en aftale med EU på et senere tidspunkt. Men der er særlige regler for det, når man sender og modtager data fra usikre tredje-lande. Med en hård Brexit er der pludselig ingen forskel på at sende sine data til Storbritannien, og til Ny Guinea eller Ukraine.

Forberedelse

“Nå”, tænker du måske, “men vi sender da ikke vores virksomhedsdata til England” – og det er godt, hvis det gælder persondata, for så længe der ikke foreligger en EU-godkendelse med et tredje-land, så pålægger det din virksomhed en stor byrde at sende persondata dertil.

Men er du sikker? Husk på, at det også gælder for de services du anvender. Hvis du bruger en backup-tjeneste, og den gemmer data på servere på britisk territorium, eller hvis du f.eks. bruger en booking-service eller andet, hvis data opbevares i Storbritannien, så kan du få problemer.

EU’s Databeskyttelsesråd anbefaler at man forbereder sig.  Et godt sted at starte er at stille disse tre spørgsmål:

  1. Overfører din virksomhed til Storbritannien, i så fald hvilke?
  2. Hvem er databehandler/dataansvarlig i den forbindelse?
  3. Indgår denne datatransport som et led i din virksomhedsstruktur?

Hvis svaret på spørgsmål nr. 1 er “Nej”, så er du på sikker grund (igen, sørg for at være sikker!) – i modsat fald anbefaler vi at du:

  1. Bliver helt klar på hvilket overførselsgrundlag der kan anvendes efter den 12. april 2019
  2. Forbereder og implementer dette, senest på skæringsdagen
  3. Informer relevante interne og eksterne personer om overførsel af persondata til Storbritannien
  4. Opdaterer aftaler og intern information i din GDPR-mappe

Har du styr på disse ting er du godt klædt på. Så er det bare at vente og se hvad udfaldet bliver – om Storbritannien når til en beslutning for dem selv og en aftale med EU.

Infolink har specialiseret sig i at være ekstern IT-afdeling. Som en del af denne ydelse er det naturligt, at vi også tager føringen i forhold til GDPR. Vi har fulgt omhyggeligt med siden starten, og er inde i reglerne og i stand til at advisere og rådgive om potentielle udfordringer, når der sker ændringer i GDPR der kan påvirke virksomheden gennem det digitale setup.