Het Verenigd Koninkrijk ("VK") zal per 29 maart 2019 geen lid meer zijn van de EU. Dat betekent dat het Unierecht (alle wetten, regels en verdragen) niet meer zullen gelden voor het VK. Dat geldt ook voor de Algemene Verordening Gegevensbescherming ("AVG"). Op dit moment is nog veel onduidelijk. Wat zeker is, is dat de Brexit gevolgen zal hebben voor de verwerking en de doorgifte van persoonsgegevens in en naar het Verenigd Koninkrijk.
Aangezien de uitkomst van de onderhandelingen nog onbekend is, behoren onderstaande scenario's nog tot de mogelijkheden.
Mogelijke scenario's
Toetreding tot de EER
Wanneer het VK ervoor kiest (opnieuw) toe te treden tot de Europese Economische Ruimte ("EER") en via die weg het Unierecht toe blijft passen, betekent dit dat de AVG blijft gelden in het VK (artikel 3 lid 3 AVG). Een gelijksoortige constructie geldt nu voor IJsland, Liechtenstein en Noorwegen. Persoonsgegevens mogen in dat geval verwerkt worden in het VK, zonder dat aanvullende regels gelden.
Deze optie is onwaarschijnlijk, aangezien het VK in dat geval zou moeten instemmen met Europese wetgeving, betalingen aan de EU en de jurisdictie van het Hof van Justitie van de EU.
Het VK als derde land
Wanneer het Unierecht niet meer van toepassing is op het VK, moeten doorgiftes van persoonsgegevens aan het VK vanuit de EU voldoen aan aanvullende regels. Gegevens mogen alleen doorgegeven worden als voldaan wordt aan een van de volgende eisen:
- Doorgiften op basis van adequaatheidsbesluiten
Indien een land buiten de EU een passend beschermingsniveau biedt voor persoonsgegevens, kan de Europese Commissie een adequaatheidsbesluit nemen. Doorgifte mag dan op basis van dit besluit plaatsvinden.
Wanneer de Europese Commissie een adequaatheidsbesluit neemt ten aanzien van het VK, mogen persoonsgegevens doorgegeven worden naar de VK zonder aanvullende regels. Jammer genoeg duurt het maanden voordat een dergelijk besluit in werking treedt. Wanneer er nog geen adequaatheidsbesluit bestaat, dient doorgifte dus plaats te vinden op basis van één van de andere rechtsgeldige grondslagen.
- Doorgiften op basis van passende waarborgen
In geval er (nog) geen adequaatheidsbesluit wordt genomen, mag doorgifte van persoonsgegevens alleen plaatsvinden als is voldaan aan een van de volgende eisen:
- Het sluiten van zogenaamde standaardcontractbepalingen tussen de verzender in de EU en ontvanger in het VK van de persoonsgegevens;
- Goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen in combinatie met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in dat derde land (art. 46 lid 2 sub e en f AVG);
- Interne bedrijfsvoorschriften goedgekeurd door de Autoriteit Persoonsgegevens (art. 47 AVG);
- Een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties en/of organen (art. 46 lid 2 sub a AVG).
Bij noodzakelijke én niet-repetitieve doorgifte kan ook een beroep worden gedaan op de uitzonderingen zoals genoemd in artikel 49 AVG (onder andere toestemming van de betrokkene voor de doorgifte).
Huidige status
De Europese leiders en Theresa May zijn er nog niet in geslaagd om tot een overeenstemming te komen. De laatste top heeft niet tot een doorbraak geleid. Mocht er voor 29 maart 2019 geen vooruitgang worden geboekt, zal dit leiden tot een 'no-deal'.
Een no-deal betekent dat de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk na de Brexit aan aanvullende eisen moet voldoen. Het is dan ook aan te raden om uw processen hierop aan te passen. Wij adviseren om alle doorgiften in kaart te brengen en te bepalen waar aanvullende maatregelen nodig zijn.
Het Verenigd Koninkrijk ("VK") zal per 29 maart 2019 geen lid meer zijn van de EU. Dat betekent dat het Unierecht (alle wetten, regels en verdragen) niet meer zullen gelden voor het VK. Dat geldt ook voor de Algemene Verordening Gegevensbescherming ("AVG"). Op dit moment is nog veel onduidelijk. Wat zeker is, is dat de Brexit gevolgen zal hebben voor de verwerking en de doorgifte van persoonsgegevens in en naar het Verenigd Koninkrijk.
Aangezien de uitkomst van de onderhandelingen nog onbekend is, behoren onderstaande scenario's nog tot de mogelijkheden.
Mogelijke scenario's
Toetreding tot de EER
Wanneer het VK ervoor kiest (opnieuw) toe te treden tot de Europese Economische Ruimte ("EER") en via die weg het Unierecht toe blijft passen, betekent dit dat de AVG blijft gelden in het VK (artikel 3 lid 3 AVG). Een gelijksoortige constructie geldt nu voor IJsland, Liechtenstein en Noorwegen. Persoonsgegevens mogen in dat geval verwerkt worden in het VK, zonder dat aanvullende regels gelden.
Deze optie is onwaarschijnlijk, aangezien het VK in dat geval zou moeten instemmen met Europese wetgeving, betalingen aan de EU en de jurisdictie van het Hof van Justitie van de EU.
Het VK als derde land
Wanneer het Unierecht niet meer van toepassing is op het VK, moeten doorgiftes van persoonsgegevens aan het VK vanuit de EU voldoen aan aanvullende regels. Gegevens mogen alleen doorgegeven worden als voldaan wordt aan een van de volgende eisen:
- Doorgiften op basis van adequaatheidsbesluiten
Indien een land buiten de EU een passend beschermingsniveau biedt voor persoonsgegevens, kan de Europese Commissie een adequaatheidsbesluit nemen. Doorgifte mag dan op basis van dit besluit plaatsvinden.
Wanneer de Europese Commissie een adequaatheidsbesluit neemt ten aanzien van het VK, mogen persoonsgegevens doorgegeven worden naar de VK zonder aanvullende regels. Jammer genoeg duurt het maanden voordat een dergelijk besluit in werking treedt. Wanneer er nog geen adequaatheidsbesluit bestaat, dient doorgifte dus plaats te vinden op basis van één van de andere rechtsgeldige grondslagen.
- Doorgiften op basis van passende waarborgen
In geval er (nog) geen adequaatheidsbesluit wordt genomen, mag doorgifte van persoonsgegevens alleen plaatsvinden als is voldaan aan een van de volgende eisen:
- Het sluiten van zogenaamde standaardcontractbepalingen tussen de verzender in de EU en ontvanger in het VK van de persoonsgegevens;
- Goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen in combinatie met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in dat derde land (art. 46 lid 2 sub e en f AVG);
- Interne bedrijfsvoorschriften goedgekeurd door de Autoriteit Persoonsgegevens (art. 47 AVG);
- Een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties en/of organen (art. 46 lid 2 sub a AVG).
Bij noodzakelijke én niet-repetitieve doorgifte kan ook een beroep worden gedaan op de uitzonderingen zoals genoemd in artikel 49 AVG (onder andere toestemming van de betrokkene voor de doorgifte).
Huidige status
De Europese leiders en Theresa May zijn er nog niet in geslaagd om tot een overeenstemming te komen. De laatste top heeft niet tot een doorbraak geleid. Mocht er voor 29 maart 2019 geen vooruitgang worden geboekt, zal dit leiden tot een 'no-deal'.
Een no-deal betekent dat de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk na de Brexit aan aanvullende eisen moet voldoen. Het is dan ook aan te raden om uw processen hierop aan te passen. Wij adviseren om alle doorgiften in kaart te brengen en te bepalen waar aanvullende maatregelen nodig zijn.