Het Europees Comité voor gegevensbescherming (EDPB, voorheen Artikel 29 Werkgroep) heeft meer duidelijk gegeven omtrent de juiste naleving van de privacyregels in het geval er sprake is van een no-dealbrexit.1 Dit zou betekenen dat het Verenigd Koninkrijk als derde land wordt gezien en niet meer over adequate privacyregels beschikt.
Indien u persoonsgegevens doorgeeft aan het VK moet u het volgende doen om u voor te bereiden op een no-dealbrexit:
- Vaststellen bij welke verwerkingsactiviteiten er persoonsgegevens aan het VK worden doorgegeven.
- Bepalen welk instrument voor de doorgifte van persoonsgegevens in uw situatie van toepassing is.
- Ervoor zorgen dat het gekozen instrument voor de doorgifte van persoonsgegevens op 30 maart 2019 klaar is voor gebruik.
- In uw interne documenten aangeven dat er persoonsgegevens aan het VK worden doorgegeven.
- Uw privacyverklaring aanpassen om de lezers van de nieuwe situatie op de hoogte te stellen.
Om te bepalen welk instrument voor de doorgifte van toepassing is, kan vanaf 30 maart 2019 een beroep worden gedaan op:
- standaard- of ad-hocbepalingen voor gegevensbescherming;
- bindende bedrijfsvoorschriften;2
- gedragscodes of certificeringsmechanismen; of
- afwijkingen.3
De standaardbepalingen voor gegevensbescherming, die door de Europese Commissie zijn goedgekeurd, kunnen worden gebruikt als voor de doorgifte. Deze modelcontracten mogen niet gewijzigd worden en de bestaande tekst moet worden ondertekend. Deze mogen echter wel worden aangevuld met verdere beschermingsmaatregelen.
Bindende bedrijfsvoorschriften (BCRs) behelst eigen beleid voor de bescherming van persoonsgegevens dat een groep ondernemingen hanteert om passende waarborgen te bieden voor gegevensuitwisseling binnen deze groep.4 Indien uw organisatie deel uitmaakt van een multinationale onderneming, dan kunt u wellicht hiervan gebruik maken. Nieuwe bindende BCRs moeten echter door de nationale toezichthoudende autoriteit worden goedgekeurd.
Naast standaardbepalingen en BCRs kan een beroep worden gedaan op gedragscodes of certificeringsmechanismen. Deze kunnen passende waarborgen bieden voor doorgifte wanneer deze bindende en afdwingbare toezeggingen bevatten. Het EDPB werkt echter nog aan richtsnoeren om meer uitleg te geven aan deze nieuwe gereedschappen.
Publieke autoriteiten kunnen voorts gebruik maken van bilaterale of multilaterale internationale overeenkomsten. Ook deze overeenkomsten moeten bindende en afdwingbare toezeggingen bevatten. Ook niet juridisch bindende overeenstemmingen mogen worden gebruikt, mits deze wel afdwingbare en effectieve rechten bevatten. Deze administratieve regelingen moeten worden goedgekeurd door de nationale toezichthoudende autoriteit.
De Britse regering stelt dat aan de huidige praktijk, waarin persoonsgegevens vrijelijk van het VK naar de Europese Economische Ruimte kunnen stromen, niets zal veranderen in het geval van een no-dealbrexit.5
Heeft u meer vragen over deze mogelijk gevolgen van de Brexit, neem dan vrijblijvend contact met ons op.
Voetnoten
- https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/instructies_doorgifte_gegevens_no-dealbrexit.pdf.
- https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_nl.
- Artikel 44 e.v. AVG.
- https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/instructies_bcrs_no-dealbrexit.pdf.
- https://www.gov.uk/government/publications/data-protection-if-theres-no-brexit-deal/data-protection-if-theres-no-brexit-deal.