Welke privacywetgeving geldt bij 'no-deal'?

Onder welke privacywetgeving vallen bedrijven en/of verwerkers in het VK, die mijn persoonsgegevens verwerken na de Brexit, bij een 'no-deal'?

  • Voor het verwerken van persoonsgegeven door Britse bedrijven in de EU geldt de AVG. Op basis van het principe dat op het grondgebied van de EU de wetgeving van de EU geldt (territoriale werking EU-recht).
  • Voor het verwerken van persoonsgegeven in het Verenigd Koninkrijk (VK) geldt: onder de privacywetgeving van het VK, tenzij het VK in de toekomst het EU-recht blijft toepassen en dus de bevoegdheid van Europese Hof van Justitie aanvaardt óf de Europese Commissie een adequaatheidsbeslissing neemt.

Is er sprake van doorgifte aan het VK?

Het kan dus zo zijn dat de AVG van toepassing blijft. Daarnaast moet je rekening houden met een apart kader in de AVG dat extra bepalingen neerlegt ten aanzien van de verwerking van persoonsgegevens buiten de EU. Elke doorgifte en verwerking van persoonsgegevens in derde landen wordt dan ook gezien als een verwerking in de zin van de AVG.

In het geval van een 'no-deal' Brexit moet je je houden aan de privacyregels die gelden voor het doorgeven van persoonsgegevens buiten de EU. Hiervoor zijn verschillende instrumenten beschikbaar:

I. Breng in kaart óf en zo ja wélke persoonsgegevens je met organisaties in het VK deelt;

II. Bepaal welk instrument voor de doorgifte van persoonsgegevens het beste past bij jouw situatie:

  • Adequaatheidsbesluit. De Europese Commissie kan oordelen dat het niveau van gegevensbescherming in een derde land gelijkwaardig is aan de Europese regelgeving. Dit wordt een adequaatheidsbesluit genoemd. In zo’n geval kun je gegevens uitwisselen met dat derde land. Maar in het geval van een no-dealbrexit zal er niet direct een adequaatheidsbesluit voor het VK klaarliggen. Je moet daarom gebruik maken van andere instrumenten.
  • Instrumenten voor het doorgeven van persoonsgegevens naar derde landen:
    1. Juridisch bindend en afdwingbaar instrument (bijvoorbeeld een verdrag);
    2. Standaard- of adhocbepalingen voor gegevensbescherming. Je kunt hiervoor gebruik maken van een aantal modelcontracten die door de Europese Commissie zijn vastgesteld;
    3. Gedragscodes of certificeringsmechanismen;
    4. Bindende bedrijfsvoorschriften;
    5. Tot slot is er ook nog een mogelijkheid om incidenteel gegevens door te geven aan derde landen. Dit mag alleen bij hoge uitzondering en onder strikte voorwaarden.

III. Zorg ervoor dat het gekozen instrument vanaf 30 maart 2019 werkzaam kan zijn.

IV. Zorg ervoor dat je in interne documenten aangeeft dat jouw organisatie persoonsgegevens doorgeeft aan een ‘derde land’, namelijk het VK.

V. Pas je privacyverklaring aan.

                                                                                         

Zie hier voor de informatie die de Autoriteit Persoonsgegevens over dit onderwerp verstrekt.

                                                                                        

Disclaimer:

Op dit moment is het nog niet zeker of het voorlopige akkoord tussen de EU en het Verenigd Koninkrijk, door het Europees Parlement en het Britse Parlement zal worden bekrachtigd. Daarom is het nog niet mogelijk vragen over dit onderwerp met zekerheid te beantwoorden.

De Europese privacytoezichthouders, verzameld in de European Data Protection Board (EDPB), hebben meer duidelijkheid gegeven over de juiste naleving van de privacyregels bij een vertrek van het Verenigd Koninkrijk (VK) uit de Europese Unie. Klik hier voor meer informatie.

De Autoriteit Persoonsgegevens (AP) doet vooralsnog geen nadere uitspraken over de mogelijke gevolgen van de Brexit en verwijst voor vragen naar de Engelse DPA.