Data flows tussen de EU en het Verenigd Koninkrijk in het geval van een ‘no deal’-Brexit
Op heden is het risico dat het Verenigd Koninkrijk de Europese Unie vanaf 30 maart 2019 verlaat zonder meer, bestaande, tenzij de termijn van 29 maart 2019 zou worden uitgesteld of er alsnog een akkoord (zgn. Brexit-deal1) zou gesloten worden tussen het Verenigd Koninkrijk en de EU. De vraag blijft hoe de in de EU gevestigde bedrijven en organisaties die in het Verenigd Koninkrijk actief zijn (of nauwe zakelijke banden hebben met Britse bedrijven) zich zullen moeten aanpassen.
Wat de overdracht van persoonsgegevens betreft, heeft het Europees Comité voor gegevensbescherming ("ECG") in zijn Informatienota van 12 februari 2019 over de overdracht van gegevens in het kader van de algemene verordening gegevensbescherming (of “GDPR”) in geval van een 'no deal'-Brexit ("Informatienota") verduidelijkt of (en hoe) persoonsgegevens nog steeds vrij tussen de Europese Economische Ruimte ("EER") en het Verenigd Koninkrijk kunnen circuleren of niet.
Bij overdracht van persoonsgegevens naar het VK
Van zodra de Brexit een feit is, wordt het Verenigd Koninkrijk een zogenaamd "derde land" voor de Europese Unie. Volgens de Informatienota moeten er vijf stappen worden ondernomen om ervoor te zorgen dat ondernemingen en organisaties uit de EU "compliant" blijven onder de bepalingen van de GDPR.
- In de eerste plaats moeten EU ondernemingen en organisaties vaststellen welke (operationele of andere) activiteiten de overdracht van persoonsgegevens naar het Verenigd Koninkrijk tot gevolg kunnen hebben en moeten vervolgens deze gegevensstromen in kaart brengen. Bijvoorbeeld, een Belgisch logistiek bedrijf dat de naam, het telefoonnummer, het e-mailadres, etc... van zijn chauffeurs verschaft aan zijn klanten in het Verenigd Koninkrijk, zal effectief persoonsgegevens doorgeven aan het Verenigd Koninkrijk.
- Ten tweede zal het Verenigd Koninkrijk, zoals vermeld, een derde land worden. Op basis van een besluit van de Europese Commissie kan het gegevensbeschermingssysteem van een derde land adequaat worden verklaard, wat betekent dat er geen aanvullende voorwaarden moeten worden vervuld alvorens persoonsgegevens naar dat land kunnen worden overgedragen. Het Verenigd Koninkrijk is op heden (nog) niet onderworpen aan een dergelijk besluit tot vaststelling van adequaatheid, en dus zullen, onder de huidige stand van zaken, organisaties die persoonsgegevens aan het Verenigd Koninkrijk willen overdragen, één van de volgende instrumenten voor gegevensoverdracht moeten hanteren:
- Een eerste mogelijkheid zou erin bestaan om een ongewijzigde versie van de modelbepalingen inzake gegevensbescherming of "SCC's" (zoals vastgesteld door de Europese Commissie) op te nemen in de overeenkomst met de niet-EER (d.w.z. het Verenigd Koninkrijk) tegenpartij. Deze modelbepalingen garanderen dat de bedrijven en organisaties uit – in voorliggend geval – het Verenigd Koninkrijk die door de overeenkomst (en de SCC's) gebonden zijn, aan de bepalingen van de GDPR voldoen en dat er derhalve voldoende waarborgen worden geboden aan de betrokkenen en hun persoonsgegevens.
- Voor overdrachten binnen een groep (bv. multinationals) of overdrachten binnen internationale organisaties (bv. NGO's) zou een tweede mogelijkheid erin bestaan om bindende bedrijfsvoorschriften vast te stellen. Dit zijn beleidsmaatregelen inzake de bescherming van persoonsgegevens die de nodige waarborgen bieden voor de overdracht van persoonsgegevens binnen de groep van ondernemingen of de organisatie, met inbegrip van overdrachten buiten de EER. Deze zogenaamde "BCR's" moeten worden goedgekeurd door de bevoegde nationale toezichthoudende autoriteit, na advies van de ECG.
- Verenigingen of andere instanties die bepaalde categorieën van ondernemingen vertegenwoordigen, kunnen gedragscodes opstellen, die passende waarborgen bieden voor de overdracht van persoonsgegevens voor zover deze bindende en afdwingbare verplichtingen voor de organisatie in het Verenigd Koninkrijk bevatten. In bepaalde gevallen voorziet de GDPR echter ook in uitzonderingen op de bovengenoemde regel, volgens welke een gegevensoverdracht naar een derde land dient te worden verricht op basis van een adequaatheidsbesluit of een instrument voor gegevensoverdracht. Zo kunnen gegevens bijvoorbeeld vrij worden overgedragen in geval van geïnformeerde toestemming, wanneer de betrokkene uitdrukkelijk heeft ingestemd met de overdracht van zijn persoonsgegevens aan een derde land, nadat hij is geïnformeerd over de risico's die inherent zijn aan de overdracht.
- Zodra het instrument voor de gegevensoverdracht door de onderneming of de organisatie is gekozen, moet het vóór 30 maart 2019 ten uitvoer worden gelegd.
- Om te voldoen aan het transparantievereiste in het kader van de GDPR moeten ondernemingen en organisaties in hun interne documentatie aangeven dat zij persoonsgegevens aan het Verenigd Koninkrijk zullen overdragen.
- Ten slotte zullen ondernemingen en organisaties hun privacyverklaring dienovereenkomstig moeten actualiseren om particulieren over de wijziging te informeren.
Bij ontvangst van persoonsgegevens uit het Verenigd Koninkrijk
Omgekeerd zullen de ondernemingen en organisaties uit de EER ook na Brexit nog steeds persoonsgegevens uit het Verenigd Koninkrijk ontvangen.
Evenwel, heeft de regering van het Verenigd Koninkrijk volgens de ECG verklaard dat er in geval van een ‘no deal’-scenario de intentie bestaat om gegevens van het Verenigd Koninkrijk naar de EER-landen te laten stromen zonder aanvullende maatregelen. De vraag hoe dit in de praktijk zal gebeuren, staat momenteel nog open (en zal hopelijk in de komende weken worden verduidelijkt).
1. Europees Comité voor gegevensbescherming, Informatienota over gegevensoverdrachten onder de AVG in geval van een ‘no deal’-Brexit, 12 februari 2019 (link).