Als er geen akkoord bereikt wordt over de uittreding van het Verenigd Koninkrijk (VK) met daarin een transitieperiode (of indien geen verlenging van de onderhandelingen overeengekomen wordt) dan zal 29 maart 2019 de laatste dag zijn waarop het VK een lidstaat is van de Europese Unie (EU). Wat verandert er dan op het gebied van de uitwisseling van persoonsgegevens?


Lees ook de andere delen van deze reeks:

De Europese Commissie heeft een aantal notices gepubliceerd die gericht zijn aan de Europese stakeholders opdat ze zich kunnen voorbereiden op de Brexit. De notice over de bescherming van persoonsgegevens vindt u hier. In dit artikel geven we u iets meer duiding hierbij.

In de Europese Unie (EU) bestaat een vrij verkeer van persoonsgegevens. Dit principe is in de Algemene Verordening Gegevensbescherming (AVG of ook wel GDPR: General Data Protection Regulation), ingeschreven en betekent dat persoonsgegevens binnen de EU vrij kunnen worden doorgegeven van de ene verwerkingsverantwoordelijke (de verwerkingsverantwoordelijke die bepaalt waarom en hoe de persoonsgegevens worden verwerkt) naar de andere verwerkingsverantwoordelijke of verwerker (verwerkt persoonsgegevens louter in opdracht van de verwerkingsverantwoordelijke, bv. sociaal secretar
iaat of cloudapplicaties).

Echter, van zodra een organisatie persoonsgegevens buiten de Europese Economische Ruimte (EER) doorgeeft, zal zij maatregelen moeten nemen om de doorgifte te rechtvaardigen door afdoende bescherming te bieden aan de betrokken individuen van wie persoonsgegevens worden doorgegeven om de vertrouwelijkheid en integriteit te bewaren. In het geval van een Brexit, zal het Verenigd Koninkrijk (VK) normaal niet langer deel uitmaken van de EER.

De GDPR biedt in dat geval een paar verschillende mogelijkheden:

Eerst en vooral kan er binnen een ondernemingengroep overwogen worden om bindende bedrijfsvoorschriften (Binding Corporate Rules of BCR) op te stellen. Dit is een soort gedragscode die de verschillende ondernemingen binnen de groep die een gezamenlijke economische activiteit uitoefenen, moeten onderschrijven zodat er een vrije doorgifte binnen de aangesloten ondernemingen mogelijk is. Deze bindende bedrijfsvoorschriften dienen goedgekeurd te worden via een formele procedure bij de Gegevensbeschermingsautoriteit.

Voorts is het mogelijk om tussen de exporteur en importeur van de persoonsgegevens modelcontractbepalingen af te sluiten (Standard Contractual Clauses of SCC). Dit zijn contracten die werden opgesteld door de Europese Commissie en waarin niet aan de clausules mag gesleuteld worden behalve in de voorziene rubrieken (voornamelijk de bijlagen bij deze modelcontractbepalingen).

Het is ook mogelijk om een eigen overeenkomst op te stellen of af te wijken van de modelcontractbepalingen. Echter, zodra er aan deze laatste iets wordt gewijzigd, gaat het om ad hoc contractbepalingen die voorafgaandelijk ter goedkeuring aan de bevoegde toezichthoudende autoriteit moeten worden voorgelegd.

Ten slotte - indien er niet op één van de bovenstaande mechanismen kan worden gesteund - is het nog mogelijk om zich op één van de afwijkingen uit artikel 49 AVG te beroepen. Maar dit zal eerder in uitzonderlijke gevallen mogelijk zijn. Daarom sommen we hieronder slechts enkele meer relevante voorbeelden op (voor een volledig overzicht, raadpleeg art. 49 AVG):

  • Toestemming van de betrokkene;
  • Noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke, of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;
  • Noodzakelijk voor de sluiting of uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de verantwoordelijke en een andere (natuurlijke of rechts)persoon (zoals het bestellen van een vliegtuigticket bij een buitenlandse luchtvaartmaatschappij);
  • Noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

Op termijn kan de Europese Commissie echter overgaan tot het nemen van eenadequaatheidsbesluit. Dit kan echter ten vroegste nadat de Brexit een feit is en er onderhandeld zal worden over de toekomstige relatie tussen de EU en het VK. Een adequaatheidsbesluit houdt in dat de Commissie heeft besloten - na analyse van de wetgeving in dit derde land - dat het derde land een passend beschermingsniveau waarborgt. Is dit het geval, dan kunnen de data vrij verstuurd worden naar deze landen.

De Britse gegevensbeschermingswetgeving stemt overeen met de GDPR, dus zou dit geen probleem mogen vormen. Echter, de Europese Commissie zal ook rekening moeten houden met andere toepasselijke wetgeving in het VK om te beoordelen of de andere wetgeving geen invloed heeft op de gegevensbeschermingswetgeving.

De mechanismen voor de doorgifte van persoonsgegevens zijn de belangrijkste te nemen maatregel. Verlies echter ook de overige principes en verplichtingen van de GDPR niet uit het oog, zoals het aanpassen van registers en van privacy policies.

Op donderdag 25 oktober organiseert Agoria voor de vijfde keer een infodag over regelgeving en normen. Tijdens het #RSEVENT2018 'Reveal what's hidden' belichten de parallelsessies 'Brexit: what will be the impact on your trade flows of goods ?' en 'Brexit: what are the legal consequences for your company ?' de mogelijke impact van de Brexit vanuit twee verschillende invalshoeken.

Bekijk het volledige programma en schrijf in.