De kranten staan er vol mee: de Brexit! De grote vraag op dit moment is nog of de Europese Unie en het Verenigd Koninkrijk tot een deal kunnen komen voor 31 oktober 2019 of dat er uiteindelijk sprake zal zijn van een no-deal Brexit. In het geval er sprake is van een no-deal Brexit zal het Verenigd Koninkrijk niet langer deel uitmaken van de Europese Unie. Wat betekent dit voor de doorgifte van persoonsgegevens vanuit Nederland naar het Verenigd Koninkrijk?
De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. De Europese wetgever heeft daarom bepaald dat het doorgeven van persoonsgegevens vanuit Nederland naar het buitenland alleen mag als het ontvangende land voldoende bescherming biedt.
Zoals inmiddels bekend, is het beschermingsniveau binnen de EER gelijk, nu voor alle EU lidstaten plus Liechtenstein, Noorwegen en IJsland de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Indien uw organisatie persoonsgegevens van Nederland naar een van deze landen doorgeeft, hoeft uw organisatie alleen te voldoen aan de algemene eisen uit de AVG. Op dit moment geldt dat dus ook voor het Verenigd Koninkrijk.
Als het Verenigd Koninkrijk uit de EU treedt, en er geen aparte regeling wordt getroffen over doorgifte/bescherming van persoonsgegevens (bijv. bij een no-deal Brexit), dient te worden voldaan aan aparte regels die ook al gelden ten aanzien van landen buiten de EER.
Voor doorgifte buiten de EER, aan zogeheten derde landen, geldt als hoofdregel dat dit mogelijk is wanneer het betreffende derde land een passend beschermingsniveau heeft. Of een derde land een passend beschermingsniveau biedt, wordt bepaald door de Europese Commissie middels een zgn. adequaatheidsbesluit. Op het moment van de Brexit is een dergelijk besluit door de Europese Commissie ten aanzien van het Verenigd Koninkrijk (nog) niet genomen. Dit betekent dat een doorgifte van persoonsgegevens enkel mogelijk is op basis van andere instrumenten. Uw opties zijn:
U kunt met de partij in het Verenigd Koninkrijk afspraken maken over het gebruik van standaardbepalingen voor gegevensbescherming. Deze standaardbepalingen zijn goedgekeurd door de Europese Commissie. Het gaat daarbij om een modelcontract dat dient te worden overeengekomen tussen u en de partij in het Verenigd Koninkrijk. Belangrijk om op te merken is dat deze modelcontracten niet mogen worden gewijzigd en er mogen geen aanvullende bepalingen worden opgenomen die direct of indirect in tegenspraak zijn met dit contract. De beschikbare modelcontracten vindt u hier:
De tweede optie is het hebben van bindende bedrijfsvoorschriften (oftewel ‘Binding Corporate Rules’, BCRs). Hieronder wordt verstaan het eigen beleid voor de bescherming van persoonsgegevens dat een groep ondernemingen (d.w.z. multinationale ondernemingen) hanteert om passende waarborgen te bieden voor de doorgifte van persoonsgegevens binnen de groep, zowel binnen als buiten de EER. In het geval u bindende bedrijfsvoorschriften wilt invoeren, dan moeten deze worden goedgekeurd door de Autoriteit Persoonsgegevens na advies van de European Data Protection Board.
Deze laatste optie is enkel onder bepaalde omstandigheden toegestaan, nu het hier gaat om een ‘afwijking/uitzondering’ van hetgeen over doorgifte van gegevens is bepaald. Hierbij moet u denken aan incidentele doorgifte van persoonsgegevens. De AVG bepaalt dat de volgende afwijkingen in de volgende gevallen van toepassing kunnen zijn:
Als laatste merk ik nog op dat er voor publieke autoriteiten speciale mechanismen voor doorgifte zijn opgenomen in de AVG.
Meer informatie en contact
Werkt u samen met partijen in het Verenigd Koninkrijk en twijfelt u of hierbij sprake is van doorgifte van persoonsgegevens of twijfelt u of u al klaar bent voor een no-deal Brexit? Neem dan gerust contact op met onze sectie ondernemingsrecht.