doorgifte van persoonsgegevens na Brexit (deel 2)

Eerder schreven wij al over de gevolgen voor de doorgifte van persoonsgegevens aan (organisaties in) het VK wanneer er sprake zou zijn van een no-deal-Brexit. Inmiddels is bekend dat er wel een deal is gesloten tussen de EU en het VK. Hieronder lichten wij toe wat er is afgesproken over de doorgifte van persoonsgegevens sinds 1 januari 2021. 

VK als derde land?

Omdat de transitieperiode op 31 december 2020 officieel is geëindigd, is het VK in de terminologie van de Algemene Verordening Gegevensbescherming (‘AVG’) vanaf 1 januari 2021 een ‘derde land’ geworden. Uitgangspunt is dat er extra waarborgen getroffen moeten worden als er persoonsgegevens aan derde landen (niet EER-landen) worden doorgezonden, tenzij een adequaatheidsbesluit door de Europese Commissie is afgegeven. Een dergelijk besluit wordt afgegeven als het betreffende land een beschermingsniveau biedt dat gelijkwaardig is aan de AVG. De Europese Commissie heeft tot op heden nog geen adequaatheidsbesluit afgegeven voor het VK.

Als onderdeel van de Brexit-deal zijn de EU en het VK overeengekomen dat de doorgifte van persoonsgegevens aan het VK niet moet worden beschouwd als een doorgifte van persoonsgegevens aan een derde land. Deze situatie duurt voort tot 1 mei 2021, tenzij de Europese Commissie al eerder een adequaatheidsbesluit heeft genomen. Als dat nog niet is gebeurd op 1 mei 2021 wordt voorgaande afspraak automatisch verlengd tot 1 juli 2021, tenzij een van beide partijen daartegen bezwaar maakt. Voorwaarde is wel dat het VK haar wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens gedurende deze periode ongewijzigd laat.

Organisaties kunnen kortom in beginsel tot 1 mei 2021 persoonsgegevens met partijen in het VK blijven uitwisselen op dezelfde wijze als voor de uittreding van het VK uit de EU. Vooralsnog is het niet duidelijk hoe de situatie na die datum zal worden.

Wat te doen?

Als uw organisatie persoonsgegevens met (partijen in het) VK uitwisselt, raden wij aan om u vast voor te bereiden op het scenario dat er geen adequaatheidsbesluit wordt afgegeven. Dat zou betekenen dat de regels ten aanzien voor de doorgifte van persoonsgegevens aan derde landen zoals opgenomen in de AVG uiteindelijk ook voor doorgiftes aan het VK gaan gelden.

Wij adviseren dan ook om op gedetailleerde wijze in kaart te brengen welke persoonsgegevens u precies met welke partijen in het VK uitwisselt en welke afspraken hierover momenteel zijn gemaakt. Houd die afspraken tegen het licht en bedenk alvast of, en zo ja hoe, die afspraken eventueel gewijzigd zullen moeten worden vanaf 1 mei 2021, respectievelijk 1 juli 2021 (in geval van verlenging) om een rechtsgeldige doorgifte te kunnen garanderen.

Voor de meeste organisaties zal het sluiten van zogenaamde EU Standard Contract Clauses (‘SSCs’) overigens de meest voor de hand liggende oplossing bieden als er uiteindelijk geen adequaatheidsbesluit wordt afgegeven. De bestaande SSCs worden momenteel herzien. Op 12 november 2020 is een conceptversie van de nieuwe SSCs gepubliceerd en de consultatie is inmiddels gesloten. Hoewel naar verwachting in de eerste helft van 2021 een definitieve versie van de herziene SSCs zal verschijnen, is het niet zeker of dat ook voor 1 mei 2021, dan wel 1 juli 2021, zal zijn. Mogelijk zullen dus toch de bestaande SSCs moeten worden gesloten om te voorkomen dat er na de overgangsperiode sprake is van een niet-rechtsgeldige doorgifte van persoonsgegevens aan het VK.

Verder heeft het Schrems II-arrest van afgelopen zomer duidelijk gemaakt dat niet kan worden volstaan met het eenvoudigweg zetten van een handtekening onder de SSCs. Eerst zal een zogeheten data transfer impact assessment uitgevoerd moeten worden. Dit komt er kortgezegd op neer dat de gegevensexporteur zal moeten beoordelen of alle rechten en verplichtingen die zijn opgenomen in de SSCs daadwerkelijk door de gegevensimporteur kunnen worden nageleefd. Daarvoor dient onder meer te worden gekeken naar de Britse wet- en regelgeving die op de specifieke doorgifte van toepassing is. Bovendien dient die beoordeling zorgvuldig te worden gedocumenteerd en op verzoek aan de toezichthouder te worden overhandigd. Het is daarmee van belang om in de gaten te houden of de Britten hun wet- en regelgeving op het gebied van privacy en gegevensbescherming tussentijds gaan wijzigen.

Al deze onzekerheden maken het voor organisaties niet bepaald gemakkelijk om voorbereidingen te treffen voor een rechtsgeldige doorgifte van persoonsgegevens aan het VK na de transitieperiode.

This site is registered on Toolset.com as a development site.