Brex(f)it: Brexit en privacy

vrijdag, 15 maart 2019

Brex(f)it: Brexit en privacy

Hoewel het nog steeds onduidelijk is of er een Brexit-deal gaat komen op 29 maart 2019, is het wel essentieel om nu inzicht te hebben in wat een deal of no deal betekent voor het verwerken van persoonsgegevens in het Verenigd Koninkrijk (VK). Het doorgeven van persoonsgegevens binnen de EU is toegestaan onder de Algemene Verordening Gegevensbescherming (AVG). Met betrekking tot het VK eindigt dit als het VK uit de EU gaat. Na 29 maart 2019 is het VK een derdeland als bedoeld in artikel 44 e.v. AVG. Wat betekent dit voor het doorgeven van persoonsgegevens naar het VK?

Doorgeven van persoonsgegevens van EU ingezetenen naar het VK en het verwerken hiervan

Als u persoonsgegevens van EU ingezetenen verwerkt, moet u voldoen aan de AVG. Vanaf 30 maart 2019, betekent het doorgeven van persoonsgegevens naar het VK, het verwerken buiten de EER. Het VK is vanaf dat moment een zogenaamd derde land. Dit betekent dat het doorgeven van persoonsgegevens naar het VK dient te geschieden door gebruik te maken van één van de volgende mogelijkheden:

- standaard bepalingen voor gegevensbescherming;

- bindende bedrijfsvoorschriften;

- gedragscodes of certificeringsmechanismen;

- wettelijke afwijkingen.

Afhankelijk of er een deal of geen deal komt, moet u op enig moment actie nemen.

Deal op 29 maart 2019

In de concept uittredingsovereenkomst tussen de EU en het VK is er een overgangsperiode overeengekomen tot eind 2020. Dit betekent dat gedurende deze overgangsperiode er nog niets verandert en het is toegestaan om persoonsgegevens naar het VK door te geven. Er is in dat geval dan ook niet direct actie nodig op 30 maart 2019, maar pas eind 2020.

No deal op 29 maart 2019 of na de overgangsperiode

In geval er geen deal is op 29 maart 2019, dan is het doorgeven van persoonsgegevens naar het VK direct vanaf 30 maart om 0.00 uur een knelpunt. Het doorgeven van persoonsgegevens naar het VK zal dan namelijk worden betiteld als het verwerken van persoonsgegevens buiten de EER.

Dit is onder de AVG alleen toegestaan als u gebruikmaakt van één van de volgende mogelijkheden:

1. Standaard bepalingen voor gegevensbescherming:

Tussen verwerkingsverantwoordelijke en verwerker wordt een overeenkomst gesloten gebaseerd op de model bepalingen die door de Europese Commissie zijn opgesteld. 

Dit is de meest voor de hand liggende mogelijkheid.

2. Bindende bedrijfsvoorschriften:

Dit is alleen een oplossing als er bindende bedrijfsvoorschriften zijn overeengekomen tussen verwerkingsverantwoordelijke en verwerker, die samen deel uitmaken van een groep (lees concern).Veelal zal er geen sprake zijn van groep/concern en behoort dit niet tot de mogelijkheden.

3. Gedragscodes of certificeringsmechanismen:

In deze situatie is er door de Europese Commissie een adequaatheidsbeslissing genomen op basis waarvan doorgeven van persoonsgegevens naar het VK is toegestaan (vergelijkbaar met het Privacyshield). Helaas heeft de Europese Commissie al aangekondigd, dat deze gedragscodes of certificeringsmechanismen op korte termijn niet zijn te verwachten. Het is nog maar de vraag of deze er überhaupt komen.

4. Afwijkingen ingevolge artikel 49 AVG:

De mogelijke afwijkingen gebaseerd op artikel 49 AVG zijn beperkt en naar verwachting kan hierop geen beroep worden gedaan door ondernemingen.

Het voorgaande is, bij een deal, pas na 31 december 2020 aan de orde omdat dan de transitieperiode is geëindigd.

Conclusie

Gezien het voorgaande is het advies om, ingeval u persoonsgegevens doorgeeft naar het VK, nu een overeenkomst te sluiten gebaseerd op de standaard bepalingen.

Wat de situatie op 29 maart 2019 ook zal zijn, wees als werkgever bewust van de regels rondom privacy. Heeft u vragen over de betekenis van Brexit voor uw onderneming, neem dan contact met ons op via: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. / +31(0)13- 820 09 52.

English translation

Athough it is still not clear whether or not there will be a deal on March 29 2019 regarding Brexit, it is essential to understand what either of these situations mean for the processing of personal data. Processing of personal data in the EU is allowed under the General Data Protection Regulation (GDPR). Regarding the UK, this ends when the UK leaves the EU.  After March 29 2019, the UK is a third country under the GDPR.  What does this mean for the processing of personal data?

Transferring personal data tot the UK and processing personal data in the UK of EU citizens

If you process personal data of EU citizens, you must be compliant with the GDPR. From March 30, 2019 and onwards, processing personal data in the UK means processing outside the EEA. The UK will then be considered a third country under the GDPR. This means that the transfer of personal data to the UK has to be based on the utilization of one of the following options as of March 30, 2019:

- standard Data Protection Clauses;

- binding corporate rules;

- Codes of Conduct and Certification Mechanisms;

- derogations.

Depending on a deal or no deal you will need to take action sooner or later.

Deal on March 29, 2019

In the Draft Withdrawal Agreement between the UK there is a transition period until the end of 2020. This means that during this transition period nothing changes and you are allowed to transfer personal data to the UK. Therefore no immediate actions are necessary on March 30 2019, to process personal data in the UK. But you will need to take further action in 2020.

No deal on march 29, 2019 or after the transition period

In the case of a no deal, processing personal data in the UK is immediately, from March 30 2019 at 0:00 hours onwards, an issue. The transferring of data to the UK will be considered to be the processing of data outside of the EEA. Under the GDPR this is only allowed based on the utilization of one of the following options:

1. Standard Data Protection Clauses:

Parties need to agree on model clauses which are made by the European Commission.

For now this is the most obvious option.

2. Binding Corporate Rules:

There are binding corporate rules in place between the controller and the processor.

This will only constitute a solution if controller and processor are in a group (of concerns).

3. Codes of Conduct and Certification Mechanisms:

This means that there is an adequacy decision of the European Commission in place.

Unfortunately the European Commission has made it clear that an adequacy decision is not to be expected soon;

4. Derogations according to article 49 GDPR:

The possible derogations in article 49 GDPR are very limited and a regular transfer of personal data for commercial companies can in most cases not be based on this.

The aforementioned is, in case of a deal, only relevant after December 31 2020 because that is the date on which the transition period will end.

Conclusion

Based on the above, why wait! If you exchange/process personal data with the UK, agree on model clauses based on the Standard Data Protection Clauses with the processor or controller in the UK. 

 

 

 

 

 

Plaats een reactie

U plaatst een reactie als gast

FaLang translation system by Faboba