Uitwisseling van persoonsgegevens met het Verenigd Koninkrijk
Uit de Brexit deal volgt dat gedurende de eerste 4 maanden van 2021 de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk (“VK”) nog op dezelfde manier mag plaatsvinden als voorheen. Maar alleen als het VK in deze periode de regels voor de bescherming van persoonsgegevens niet verandert. Deze periode van 4 maanden kan worden verlengd tot 6 maanden.
Gehoopt wordt dat de Europese Commissie (“EC”) in de tussentijd alsnog een zogenoemd “adequaatheidsbesluit” zal nemen. Dat houdt in dat de EC vaststelt dat het beschermingsniveau van het VK passend is en blijft vrij verkeer van persoonsgegevens naar het VK mogelijk zonder aanvullende maatregelen.
Gebeurt dat (nog) niet binnen die periode? Dan is doorgifte van persoonsgegevens naar het VK vanaf 1 mei (of in geval van verlenging 1 juli) 2021 verboden, tenzij er passende maatregelen worden getroffen om een veilige gegevensuitwisseling te waarborgen. Zo kan gebruik worden gemaakt van de modelcontractbepalingen van de EC. Voor intra-groep uitwisseling van persoonsgegevens blijven ook bindende bedrijfsvoorschriften bruikbaar die door de toezichthouder zijn goedgekeurd. Incidentele doorgifte is soms mogelijk, bijvoorbeeld met toestemming van de betrokkene of wanneer dit noodzakelijk is voor een juridische procedure in het buitenland.
In de Schrems II uitspraak van het Europese Hof van Justitie van 16 juli jl. is benadrukt dat bij doorgifte daadwerkelijk sprake dient te zijn van een gelijkwaardige (“essentially equivalent”) bescherming van persoonsgegevens. In een verklaring en informatienotitie omtrent de Brexit wijst de European Data Protection Board (“EDPB”) expliciet op de noodzaak van het nemen van passende maatregelen en eventuele aanvullende maatregelen als er geen adequaatheidsbesluit wordt afgegeven.
Wat te doen?
De overgangstermijn laat gegevensuitwisseling vooralsnog onveranderd toe, als ware het VK nog een EU-lidstaat. Dit biedt de gelegenheid voor te sorteren op de periode daarna, voor zover dat nog niet is gebeurd.
Allereerst is aanbevolen na te gaan of er uitwisseling van gegevens plaatsvindt met het VK en wat de aard en omvang daarvan is. Vraag ook uw verwerkers uit naar verwerking in de keten en spreek met hen af dat zij u onverwijld op de hoogte zullen stellen van eventuele wijzigingen in de regels voor de bescherming van persoonsgegevens in het VK. Ga na welk mechanisme voor doorgifte voor uw situatie het meest geschikt is en ga na of aanvullende maatregelen nodig zijn. Zorg ervoor dat het gekozen mechanisme voor doorgifte tijdig klaar ligt, voor het geval er geen adequaatheidsbesluit wordt afgegeven. Zelfs als uw organisatie de Brexit al heeft voorbereid, is het raadzaam om na te gaan of de destijds gekozen oplossingen in het licht van de Schrems II uitspraak nog steeds juist zijn of dat er aanvullende maatregelen nodig zijn. Denk ook aan het aanpassen van uw verwerkingsregister en privacybeleid om aan te geven dat er doorgifte naar het VK plaatsvindt.
Tot slot: de Autoriteit Persoonsgegevens raadt aan om haar website regelmatig te raadplegen voor updates.
Vanzelfsprekend zijn we graag bereid u te helpen bij vragen.