Det europæiske databeskyttelsråd (EDPB) har nu godkendt en midlertidig forlængelse af de såkaldte "adequacy"-aftaler med Storbritannien, der ellers stod til at udløbe i juni 2025.
Forlængelsen betyder, at persondata fra EU fortsat må overføres til Storbritannien frem til december 2025, men det sker med betingelse af, at landet i mellemtiden færdiggør og vedtager sin nye databeskyttelseslov, fremgår det af en meddelelse fra EDPB.
Afventer ny britisk lovgivning
Baggrunden for forlængelsen er, at Storbritanniens planlagte reform af datalovgivningen endnu ikke er færdigbehandlet i parlamentet.
Det gør det umuligt for EU-Kommissionen at vurdere, om Storbritannien fortsat lever op til kravene i GDPR og dermed stadig kan betragtes som et sikkert tredjeland for dataoverførsler.
Ifølge EDPB giver den ekstra tid EU mulighed for at gennemgå det kommende britiske regelsæt, så snart det er vedtaget.
Men samtidig lægger man ikke skjul på, at der er en deadline.
"Afgørelsen er en undtagelse og bør ikke forlænges yderligere," lyder det fra EDPB, der betegner situationen som "usædvanlig".
Vigtigt for europæiske virksomheder
For mange danske og europæiske virksomheder, der blandt andet arbejder med it, finans og rådgivning, har overførsel af data til samarbejdspartnere i Storbritannien været afhængig af, at EU formelt har anerkendt britisk lovgivning som "tilstrækkelig" efter GDPR-standarder.
Hvis den status på sigt skulle bortfalde, vil det kræve nye kontraktuelle sikkerhedsforanstaltninger i form af eksempelvis standardkontraktklausuler eller bindende virksomhedsregler, hvis dataoverførslerne fortsat skal være lovlige.
Den britiske reform, som altså stadig er under behandling, har mødt kritik for at give myndighederne bredere adgang til data og for at lempe kravene til virksomheder.
Det har vakt bekymring i EU, hvor man frygter, at britisk databeskyttelse kan glide for langt væk fra GDPR.
Forlængelsen kommer til at gælde til 27. december 2025, og hvis det britiske parlament når at vedtage dataloven i tide, vil EU derefter vurdere, om Storbritannien stadig kan betragtes som et sikkert tredjeland for dataoverførsler.