Wat is de impact van de Brexit op de GDPR?

Het is aftellen tot Groot-Brittannië op 29 maart volgend jaar de EU verlaat en tijdens dat lange aftellen neemt de stress in het VK elke dag verder toe.  Elke dag opnieuw immers stellen juristen vast dat die Brexit gigantische praktische en juridische gevolgen zal hebben. Dat is niet anders op het vlak van databescherming.  Vanaf 29 maart 2019 is het VK immers een “derde land” buiten de EU waarmee niet langer zomaar persoonsgegevens uitgewisseld kunnen worden. Tijd dus om even te kijken wat de impact van de Brexit op de GDPR zal zijn…

“No Deal” mededelingen van de Britse overheid

Eerder deze zomer publiceerde de Britse regering een reeks technische mededelingen met betrekking tot een “no deal Brexit”.  De 25 mededelingen bevatten informatie over enkele van de mogelijke gevolgen van een “no deal”-scenario en identificeren stappen die deze kunnen verzachten.

GDPR in het VK

Een van die “no deal” mededelingen gaat over databescherming en GDPR.   In tegenstelling tot sommige van de andere ‘no deal’- mededelingen, is de kennisgeving over databescherming waarschijnlijk ook relevant wanneer er wél een overeenkomst met de EU kan worden bereikt. De EU heeft immers al duidelijk aangegeven dat afspraken met betrekking tot gegevensbescherming los staan van een eventueel handelsakkoord.

Bescherming van persoonsgegevens wordt in het Verenigd Koninkrijk tegenwoordig, net zoals in de rest van de EU,  geregeld door de Algemene Verordening Gegevensbescherming (AVG of GDPR), aangevuld met een nieuwe databeschermingswet die in mei 2018 in werking is getreden.

Wat is de reden tot ongerustheid bij een Brexit?

Wat een Brexit zonder specifieke akkoorden over databescherming erg vervelend dreigt te maken voor het VK, is de beperking in het Europees recht voor wat betreft de export van persoonsgegevens buiten de EU. Op 29 maart 2019 wordt het VK immers een derde land, buiten de EU en buiten de EER.

De data-exportregels onder GDPR bepalen dat export van persoonsgegevens buiten de EU alleen is toegestaan ​​als daarvoor een wettelijke basis bestaat. Potentiële rechtsgrondslagen zijn onder meer:

  • De Europese Commissie heeft vastgesteld voor een zeer beperkte lijst van landen dat zij een “passend niveau van bescherming van persoonsgegevens bieden”.
  • Voor export naar landen die niet op die lijst staan, kunnen de data-exporteur en de data-importeur zorgen voor “Binding Corporate Rules” die dataveiligheid garanderen.  Zulke BCR’s moeten voorafgaand goedgekeurd worden door de overheid.
  • De data-exporteur en de data-importeur kunnen er ook voor kiezen om de standaard contractbepalingen (“Standard Contract Clauses” of SCC’s) op te nemen in hun onderlinge overeenkomsten.  Het gaat dan om standaard contractclausules die door de Europese Commissie zijn goedgekeurd voor doorgifte van persoonsgegevens buiten de EU.

Deze regels zijn van toepassing, ongeacht of de overdracht een overdracht van verantwoordelijke naar verantwoordelijke of van een verantwoordelijke naar een verwerker is.

Dringende actie vereist voor wie persoonsgegevens uitwisselt met partners in het VK

Bij een Brexit zonder akkoorden over databescherming, is élke uitwisseling van persoonsgegevens vanaf 29 maart 2019 een export van persoonsgegevens buiten de EU en aangezien het VK niet op de lijst met “veilige” landen staat, kan data-export vanaf dan enkel nog als er hetzij binding corporate rules in werking zijn binnen de groep van ondernemingen, als het om intragroep gegevensuitwisseling gaat, of, in alle andere gevallen, als er Standard Contract Clauses zijn overeengekomen tussen exporteur en importeur.

Hoewel de Britse regering hoopt dat het feit dat de  GDPR in het VK gewoon verder van toepassing zal blijven na de Brexit er snel toe zal leiden dat het VK op de lijst met veilig landen geplaatst wordt, kan opname op die lijst in elk geval pas ná de Brexit en eens het VK effectief een derde land is, waardoor er een vacuüm dreigt te ontstaan tussen 29 maart 2019 en het moment dat er effectief een “adequaatheidsbeslissing” (opname op de lijst met veilige landen) door de EU genomen zal worden…

Het is daarom belangrijk dat organisaties die persoonsgegevens tussen het VK en de rest van de EU overdragen, bepalen welke stappen zij moeten nemen om ervoor te zorgen dat die overdrachten na de Brexit kunnen doorgaan.  Zij moeten dringend werk maken van ofwel BCC’s ofwel SCC’s als zij zonder juridische risico data willen blijven exporteren naar het VK.

Daarbij moet in het achterhoofd gehouden worden dat Binding Corporate Rules enkel werken binnen een groep van ondernemingen én dat het goedkeuren van Binding Corporate Rules een érg omslachtige en tijdrovende procedure is en dat het onwaarschijnlijk is dat wie vandaag nog zo’n procedure start voor 29 maart 2019 een goedkeuring zou bekomen…

En wat met data-import in de EU?

Voor wie vanuit het VK data exporteert naar de EU zegt de mededeling van de Britse overheid wel dat organisaties in het Verenigd Koninkrijk in staat zullen zijn en blijven om persoonsgegevens vanuit het VK naar de EU te blijven verzenden, zoals momenteel is toegestaan ​​onder GPDR.

Nog enkele bedenkingen

De technische mededeling richt zich vooral op overdrachten van persoonlijke gegevens tussen verantwoordelijken voor de verwerking. Er wordt geen rekening gehouden met de impact van Brexit op Britse organisaties die goederen of diensten aanbieden aan betrokkenen elders in de rest van de EU.

Bij Brexit zullen deze organisaties onderworpen zijn aan de extraterritoriale bepalingen van de GDPR, inclusief de vereiste om een ​​vertegenwoordiger in de EU aan te stellen. Bijgevolg zullen deze organisaties zowel onder de Briste Privacywet van 2018 als onder de GDPR vallen met betrekking tot betrokkenen in de EU.

Ze kunnen ook te maken krijgen met meerdere toezichthoudende autoriteiten: de ICO in het VK en een of meer toezichthoudende autoriteiten in de EU.

Tijd voor actie…

Wie persoonsgegevens uitwisselt met Britse bedrijven moet met andere woorden dringend in actie komen.  Organisaties die persoonsgegevens vanuit de EU verzenden naar het VK, moeten vandaag nog beginnen met het vaststellen van de stappen die zij moeten nemen ter voorbereiding op de Brexit in maart 2019.

Vragen over databescherming en GDPR?

Neem vrijblijvend contact op met ons team op info@siriuslegal.be of op 0032 2 721 13 00.