Brexit – Gegevensuitwisseling

UPDATE 6/01/2021 – Gegevensoverdracht met het post-Brexit Verenigd Koninkrijk conform de GDPR tot 30 juni 2021

Het Verenigd Koninkrijk heeft op 1 januari officieel de Europese Unie verlaten.

Op 24 december 2020 bereikten het Verenigd Koninkrijk en de 27 overblijvende EU-landen eindelijk een post-Brexit-akkoord. Dat akkoord is van toepassing sinds 1 januari 2021. Het voorziet geen definitieve oplossing inzake gegevensbescherming, maar een nieuwe overgangsperiode.

Tijdens de duur van dat post-Brexit-akkoord wordt de overdracht van persoonsgegevens tussen een land van de Unie en het Verenigd Koninkrijk niet beschouwd als een overdracht naar een derde land in de zin van de GDPR. Dit voor een periode van 4 maanden, die eventueel wordt verlengd met 2 maanden als geen enkele partij er zich tegen verzet.

Daartoe moet het Verenigd Koninkrijk twee voorwaarden respecteren:

(1) Ten eerste moet de wetgeving inzake gegevensbescherming, opgenomen in het nationaal recht van het Verenigd Koninkrijk door de ‘European Union Act 2018’ en zoals gewijzigd bij de verordeningen van 2019 over de gegevensbescherming, privacy en elektronische communicatie, verder worden toegepast.

(2) Ten tweede mag het Verenigd Koninkrijk die wetgeving niet aanpassen zonder een consultatieproces dat leidt tot de goedkeuring van de wijziging door de EU.

Dat post-Brexit-akkoord wordt beëindigd wanneer de Commissie een adequaatheidsbesluit neemt omtrent het Verenigd Koninkrijk. Met die beslissing zou de Commissie vaststellen dat het Verenigd Koninkrijk de gepaste bescherming biedt op het vlak van gegevensbescherming. Daardoor zou de overdracht van gegevens tussen de EU en het Verenigd Koninkrijk mogelijk worden zonder bijzondere maatregelen.

Als daarentegen geen adequaatheidsbesluit (art. 45 GDPR) wordt genomen tegen 1 juli 2021, zal de overdracht van persoonsgegevens tussen het Verenigd Koninkrijk en een lidstaat van de Unie worden beschouwd als een grensoverschrijdende gegevensstroom.

De verwerkingsverantwoordelijke die na die datum verder gegevens blijft overdragen naar het Verenigd Koninkrijk zonder een beroep te kunnen doen op een van de vier manieren van overdracht zou bijgevolg het risico lopen vervolgd te worden voor schending van de GDPR.

Laat ons dus hopen dat er een adequaatheidsbesluit wordt genomen voor eind juni.

Na de overgangsperiode zal het Verenigd Koninkrijk een derde land zijn in de zin van de Algemene Verordening Gegevensbescherming. Een belangrijk gevolg ervan is dat overdrachten van persoonsgegevens van een onderneming in een EU/EER-lidstaat naar een entiteit in het Verenigd Koninkrijk, doorgiftes van persoonsgegevens naar een derde land zullen zijn. De AVG voorziet er specifieke regels voor (in de artikelen 44 e.v.).

Doorgifte van persoonsgegevens naar het Verenigd Koninkrijk na de nieuwe overgangsperiode

Elke onderneming zal moeten nagaan of zij gegevens doorgeeft naar het Verenigd Koninkrijk en deze gegevenstransferts in kaart brengen. Op basis daarvan zal de onderneming dan haar register van verwerkingsactiviteiten, evenals haar privacyverklaring moeten bijwerken.

Ondernemingen die gegevens doorgeven naar het Verenigd Koninkrijk zullen dat alleen nog kunnen op basis van:

Hetzij

  • Een toekomstig adequaatheidsbesluit van de Europese Commissie (dat wordt ten vroegste verwacht voor maart 2021)

Hetzij

(a) De modelcontractbepalingen en specifieke ad-hoc modelcontractbepalingen

(b) Bindende bedrijfsvoorschriften

(c) Gedragscodes en certificeringsmechanismen

(d) Een van de uitzonderingen voorzien in artikel 49 van de AVG

Als gevolg van het zogenaamde Schrems II-arrest van het Hof van Justitie van de EU, kan het bovendien nodig zijn, zolang er geen adequaatheidsbesluit is, dat de verwerkingsverantwoordelijke aanvullende maatregelen neemt om het beschermingsniveau van de overgedragen gegevens te verhogen. Het Europese Comité voor Gegevensbescherming heeft in dat kader ontwerpaanbevelingen uitgebracht.

 

Links naar externe informatiebronnen

 Informatienota van het Europees Comité voor Gegevensbescherming (EDPB – European Data Protection Board): https://edpb.europa.eu/our-work-tools/our-documents/other/information-note-data-transfers-under-gdpr-united-kingdom-after_en

 Brexitpagina op de website van de Belgische Gegevensbeschermingsautoriteit: https://www.autoriteprotectiondonnees.be/professionnel/themes/flux-internationaux-de-donnees/impact-du-brexit-

+ presentatie GBA (VBO Brexit webinar 28/10/20 – FR): https://www.vbo-feb.be/globalassets/events/emily/brexit/stevens---bon---gegevensbescherming---protection-des-donnees.pdf

  Standpunt van de Britse Gegevensbeschermingsautoriteit (ICO – Information Commissioner’s Office): https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/01/statement-on-data-protection-and-brexit-implementation-what-you-need-to-do

Onze partners

Actiedomeinen

Een gezond ondernemingsklimaat is essentieel voor een gezonde economie en duurzame groei in België. Als VBO nemen we de verantwoordelijkheid om de motor van onze welvaartsstaat op kruissnelheid te houden. Om dat te bereiken, focussen we op 18 actiedomeinen die bijdragen tot een duurzame groei.


VBO-NIEUWSBRIEVEN

Schrijf u nu in en ontvang wekelijks de laatste artikelen direct in uw mailbox.