doorgifte van persoonsgegevens na Brexit

Het Verenigd Koninkrijk (‘VK’) heeft de Europese Unie (‘EU’) op 31 januari 2020 verlaten. Tot en met 31 december 2020 geldt een transitieperiode. Gedurende die periode zal het VK zich nog houden aan alle wet- en regelgeving van de EU. Wat er daarna gaat gebeuren is nog steeds niet duidelijk. Deal or no deal? Zeker is wel dat de uittreding van het VK invloed zal hebben op het dataverkeer tussen de EU en het VK.

VK wordt een ‘derde land’

De Algemene Verordening Gegevensbescherming (‘AVG’) maakt een onderscheid tussen landen die deel uitmaken van de EER en zogenaamde derde landen. De EER bestaat uit alle EU- lidstaten plus Liechtenstein, Noorwegen en Ijsland. Het VK zal vanaf 1 januari 2021 een ‘derde land’ worden in de terminologie van de AVG. De transitieperiode komt dan immers ten einde en het is zeer onwaarschijnlijk dat het VK zal toetreden tot de EER.

Adequaatheidsbesluit onwaarschijnlijk

De doorgifte van persoonsgegevens aan (organisaties in) derde landen is enkel toegestaan wanneer die landen of organisaties een adequaat beschermingsniveau bieden. De Europese Commissie kan door middel van een adequaatheidsbesluit vaststellen dat dit het geval is. Voorbeelden van landen waarover dergelijke besluiten zijn genomen, betreffen Zwitserland, Israël en Japan. De Europese Commissie neemt een adequaatheidsbesluit wanneer zij van oordeel is dat het betreffende land een beschermingsniveau biedt dat gelijkwaardig is aan het beschermingsniveau dat op grond van de AVG geldt.

Wanneer voor 1 januari 2021 een adequaatheidsbesluit wordt verkregen door het VK, kan de doorgifte van persoonsgegevens vanuit de EER aan (organisaties in) het VK ook na de transitieperiode op dezelfde wijze worden voortgezet. Hoewel de VK tijdens de onderhandelingen met de EU in het begin leek in te zetten op een adequaatheidsbesluit, hebben zich in de laatste maanden van 2020 enkele ontwikkelingen voorgedaan waarmee dit op losse schroeven is komen te staan.

Zo publiceerde het VK op 9 september 2020 haar National Data Strategy. Naar aanleiding daarvan verschenen er diverse berichten in de Britse media waarin werd aangegeven dat het VK haar gegevensbeschermingswet- en regelgeving wenste te versoepelen en daarmee de EU wellicht tegen zich in het harnas zou jagen. Daar komt bij dat het Hof van Justitie van de Europese Unie op 6 oktober 2020 oordeelde dat de surveillancewetgeving van het VK niet in overeenstemming met Europees recht is. Hiermee lijkt het steeds onwaarschijnlijker geworden dat de Europese Commissie een adequaatheidsbesluit zal afgeven, laat staan voor de deadline van 1 januari 2021.

Wat moeten organisaties dan doen?

Eerder schreven wij al over de mogelijkheden om een rechtsgeldige doorgifte van persoonsgegevens aan het VK te bewerkstelligen in geval van een No Deal Brexit. Die mogelijkheden zijn weliswaar gelijk gebleven, maar daar komt bij dat de Autoriteit Persoonsgegevens recentelijk heeft aangegeven met zodanig grote achterstanden te kampen dat organisaties vijf tot zeven jaar zullen moeten wachten op goedkeuring van Binding Corporate Rules. Binding Corporate Rules zijn dus geen reële optie wanneer op korte termijn een oplossing gevonden moet worden voor een rechtsgeldige doorgifte van persoonsgegevens aan het VK.

In vrijwel de meeste gevallen, zullen enkel de EU Standard Contractual Clauses (hierna: ‘SSCs’ of ‘modelcontracten’) nog uitkomst kunnen bieden. Sinds het baanbrekende Schrems II-arrest van afgelopen zomer, kan er echter niet worden volstaan met het eenvoudigweg zetten van een handtekening onder deze modelcontracten. Eerst zal namelijk een zogeheten data transfer impact assessment uitgevoerd moeten worden. Dit komt er kortgezegd op neer dat de gegevensexporteur zal moeten beoordelen of alle rechten en verplichtingen die zijn opgenomen in de SSCs, daadwerkelijk door de gegevensimporteur kunnen worden nageleefd. Daarvoor dient onder meer te worden gekeken naar de Britse wet- en regelgeving die op de specifieke doorgifte van toepassing is. Bovendien dient die beoordeling zorgvuldig te worden gedocumenteerd en op verzoek aan de toezichthouder te worden overhandigd.

Conclusie

Al met al zal het een behoorlijke uitdaging zijn voor organisaties om een en ander nog voor 1 januari 2021 rond te krijgen. Toch adviseren wij dit zo snel mogelijk in gang te zetten. Zonder modelcontract is de kans namelijk groot dat uw organisatie na de jaarwisseling de AVG overtreedt. Zelfs wanneer er wel een deal wordt gesloten, is de kans zeer klein dat er op 1 januari 2021 een adequaatheidsbesluit op de plank ligt. Dat betekent dat er hoe dan ook extra waarborgen getroffen zullen moeten worden voor een rechtsgeldige doorgifte aan (organisaties in) het VK.

This site is registered on Toolset.com as a development site.