Nu het ernaar uitziet dat het Verenigd Koninkrijk ("VK") de Europese Unie ("EU") binnenkort zal verlaten, rijst de vraag naar de gevolgen van deze brexit op de bescherming van persoonsgegevens. Het Europees Comité voor Gegevensbescherming ("ECG") heeft in dat verband recent richtlijnen opgesteld waarvan deze bijdrage een overzicht biedt.
Impact voor bedrijven gevestigd in het VK: (extra-)territoriale werking AVG en aanstelling van een vertegenwoordiger
Bedrijven en organisaties die gevestigd zijn in het VK en die goederen of diensten aanbieden aan betrokkenen in de Europese Economische Ruimte ("EER") of die het gedrag van betrokken in de EER observeren (artikel 3.2. AVG), zullen ook na de brexit onderworpen blijven aan de bepalingen van de AVG.
Eén van die verplichtingen is de aanstelling van een vertegenwoordiger in de EER (artikel 27 AVG). Deze vertegenwoordiger moet uitdrukkelijk worden aangewezen bij schriftelijk mandaat van de verwerkingsverantwoordelijke of de verwerker en vormt het contactpunt voor de toezichthoudende autoriteit (overweging 80 AVG).
Meer informatie over de procedure voor de aanwijzing van een vertegenwoordiger en zijn verantwoordelijkheden vindt u in de (ontwerp)richtlijnen van het ECG over het territoriale toepassingsgebied van de AVG (voorlopig enkel in het Engels beschikbaar): richtlijnen 3/2018 betreffende het territoriale toepassingsgebied van de AVG.
Impact voor bedrijven gevestigd in de EER die persoonsgegevens opslaan of uitwisselen met bedrijven in het VK
De impact van de brexit op de doorgifte van persoonsgegevens naar het VK verschilt naargelang er voor het verstrijken van de officiële datum van de brexit, behoudens uitstel, op 29 maart 2019 al dan niet een uittredingsakkoord wordt bereikt tussen het VK en de EU.
Akkoord tussen het VK en de EU
Indien er een akkoord is, zou de AVG in het VK in principe van toepassing blijven tot eind 2020. In dit geval zou er voor doorgifte van persoonsgegevens naar het VK niets veranderen gedurende de twee jaar die volgen op de brexit.
Geen akkoord tussen het VK en de EU
Indien er geen akkoord wordt bereikt tussen de EU en het VK, wordt het VK vanaf 30 maart 2019 beschouwd als een derde land. Dat betekent dat de doorgifte van persoonsgegevens van de EER naar het VK, zolang er geen adequaatheidsbesluit is (artikel 45 AVG), vanaf 30 maart 2019 moet plaatsvinden op grond van een van de volgende instrumenten:
- Standaard- of ad hoc bepalingen voor gegevensbescherming (artikel 46.2.c) AVG),
- Bindende bedrijfsvoorschriften (artikel 46.2.b) en artikel 47 AVG),
- Gedragscodes of certificeringsmechanismen (artikel 46.2.c) - d) AVG), of
- Afwijkingen voor specifieke situaties (artikel 49 AVG).
Rekening houdend met de beperkte tijd die nog rest tot 30 maart 2019, kunnen de standaardcontractbepalingen het snelst in de praktijk worden omgezet.
Voor de doorgifte van persoonsgegevens vanuit het VK naar de EER verandert er op 30 maart 2019 in principe niets. De Britse regering heeft namelijk aangegeven dat gegevens vanuit het VK kunnen worden doorgegeven aan de EER, net zoals dat op dit moment ook mogelijk is.
Voorbereiding in vijf stappen
Omwille van de reële kans dat het VK op 29 maart 2019 de EU zonder akkoord zou verlaten, benadrukken verschillende gegevensbeschermingsautoriteiten, waaronder de Belgische Gegevensbeschermingsautoriteit, dat bedrijven en organisaties zich best op een no-deal-scenario voorbereiden.
Bij die voorbereiding dient u vijf stappen te overwegen:
- Maak een overzicht van de verwerkingsactiviteiten die een doorgifte van persoonsgegevens vergen naar het VK.
- Bepaal welk instrument voor de doorgifte van persoonsgegevens het meest geschikt is.
- Zorg ervoor dat dit instrument op 30 maart 2019 klaar is voor gebruik.
- Vermeld in uw interne documentatie, zoals uw register van verwerkingsactiviteiten, dat er doorgiftes naar het VK (zullen) plaatsvinden.
- Pas uw privacyverklaring aan door te vermelden dat er doorgiftes zullen plaatsvinden naar het VK
Verder is het ook aanbevolen om de website van de Britse regering en van de Britse gegevensbeschermingsautoriteit (ICO) regelmatig te raadplegen.
Meer informatie?
Op 12 februari 2019 heeft het ECG twee informatienota's gepubliceerd met nadere toelichting voor bedrijven en organisaties over de juiste naleving van de AVG bij een no-deal-brexit:
- Informatienota over de doorgifte van persoonsgegevens onder de AVG in het geval van een no-deal-brexit
- Informatienota over bindende bedrijfsvoorschriften voor ondernemingen die ICO als leidende toezichthoudende autoriteit hebben (voorlopig enkel in het Engels beschikbaar)
Voor een overzicht van de gevolgen van de brexit op financiële dienstverleners verwijzen we graag naar Eubelius Spotlights maart 2019.
