De Algemene Verordening Persoonsgegevens (AVG) zorgt voor een vrij verkeer van persoonsgegevens binnen de Europese Unie (EU). Door de Brexit maakt het Verenigd Koninkrijk (VK) geen deel meer uit van de EU. Daarom is niet meer automatisch sprake van een vrij verkeer van persoonsgegevens tussen de EU en het VK. Op de verwerking van persoonsgegevens in het VK is bovendien de Britse privacywetgeving van toepassing. Hierna worden de gevolgen van de Brexit voor de uitwisseling van persoonsgegevens tussen de EU en het VK besproken.
Managementsamenvatting
Nederlandse ondernemers die direct of indirect persoonsgegevens uitwisselen met het Verenigd Koninkrijk moeten ondanks het Brexit-akkoord toch rekening houden met extra-voorschriften. In sommige gevallen hebben zij een formele vertegenwoordiger nodig in het VK. Ook het omgekeerde kan het geval zijn. Als de Europese Unie er niet in slaagt om vóór 1 juli 2021 een zogenaamd adequaatheidsbesluit te nemen moeten bovendien alle contractuele afspraken met betrekking tot persoonsgegevens worden gereviewed en zo nodig aangepast. Ondernemers riskeren forse boetes als zij dat niet doen. Neem contact met ons op voor een vrijblijvend advies op maat!
Doorgifte van persoonsgegevens vanuit de EU naar het VK
De uittreding van het VK uit de EU per 1 januari 2021 brengt verandering in de regels die gelden voor de uitwisseling van persoonsgegevens tussen EU en VK. Het VK heeft vanaf 1 januari 2021 de status van derde-land onder de AVG. Dat betekent dat de doorgifte van persoonsgegevens vanuit de EU naar een verwerkingsverantwoordelijke of een verwerker in het VK na 1 januari 2021 alleen onder aanvullende voorwaarden mogelijk is. Een van die aanvullende voorwaarden is voor sommige gevallen het gebruik van door de EU goedgekeurde model exportcontracten.
EU en VK hebben echter de mogelijkheid te voorkomen dat er belemmeringen in het verkeer van persoonsgegevens ontstaan. Vanuit de EU ligt dan een zogenaamd adequaatheidsbesluit ten aanzien van het VK het meest voor de hand.
In art. FINPROV.10A van het Brexit akkoord (de “handels- en samenwerkingsovereenkomst”) is daartoe een uitstelregeling afgesproken. De datum van 1 januari 2021 waarop de belemmeringen zouden moeten ingaan wordt met vier maanden verschoven naar 1 mei 2021. Deze datum kan nog eenmaal met stilzwijgende toestemming met twee maanden worden verlengd tot 1 juli 2021. Deze periode is bedoeld om de EU in de gelegenheid te stellen een adequaatheidsbesluit ten aanzien van het VK te nemen (zie lid 4(a)) zodat geen aanvullende maatregelen meer nodig zijn. De tekst van dit artikel 10A is opgenomen onder dit bericht.
Als de EU vóór 1 juli 2021 een adequaatheidsbesluit vaststelt doet zich het probleem met de doorgifte vanuit de EU naar het VK niet voor. Een adequaatheidsbesluit houdt in dat de EU formeel vaststelt dat de wetgeving van (in dit geval) het VK passende waardborgen biedt voor de bescherming van de persoonlijke levenssfeer. Gegevensverkeer naar het VK wordt dan behandeld alsof het om gegevensverkeer binnen de EU gaat.
Nederlandse verwerkingsverantwoordelijken en verwerkers die in het VK persoonsgegevens van VK onderdanen verwerken zonder dat zij een vestiging in het VK hebben moeten daar op grond van de privacywetgeving van het VK wél een vertegenwoordiger (“representative”) aanwijzen. Deze verplichting geldt ook omgekeerd (zie hierna).
Doorgifte van persoonsgegevens vanuit het VK
Andersom gelden voor bedrijven die gegevens vanuit het VK doorgeven naar de EU ook aandachtspunten. Exporteurs in het VK moeten rekening houden met de Britse privacywetgeving (die overigens nagenoeg gelijk is aan de AVG) die exportregels bevat gelijk aan die van de EU. Volgens een mededeling van 31 december 2020 van het Britse Department for Digital, Culture, Media & Sport, Department for Business, Energy & Industrial Strategy, en de Information Commissioner’s Office is de hoofdregel dat VK-bedrijven ongehinderd persoonsgegevens kunnen blijven exporteren naar de EU omdat de EU-wetgeving vooralsnog gelijkwaardig wordt beschouwd aan die van het VK.
Als de VK-exporteur gegevens van EU-burgers verwerkt binnen de EU moet hij op grond van art. 27 AVG binnen de EU een “representative” aanwijzen.
Na 1 juli 2021
Als de Europese Unie tijdig komt met een adequaatheidsbesluit hoeven EU- ondernemingen verder niets te doen. Afgezien van de verplichting om een “representative” aan te wijzen als zij in het VK gegevens verwerken van Britse onderdanen zonder daar een vestiging te hebben. Britse ondernemingen blijven een vertegenwoordiger als bedoeld in art. 27 AVG nodig hebben binnen de EU.
Bij gebreke van een tijdig adequaatheidsbesluit gaat het derde-landen regime uit de AVG volledig gelden voor Nederlandse ondernemingen die persoonsgegevens doorgeven naar het VK.
Dat betekent dat zij in veel gevallen met de importeur binnen het VK een exportcontract moeten afsluiten dat voldoet aan de eisen van art. 46 lid 2 van de AVG. In enkele gevallen kan worden teruggevallen op de uitzonderingen van art. 49 AVG. Artikel 49 noemt in dat verband onder meer toestemming, uitvoering overeenkomst en het voeren van gerechtelijke procedures. Volgens de EDPB moet artikel 49 echter restrictief worden uitgelegd. Grote ondernemingen die beschikken over goedgekeurde “bindende bedrijfsvoorschriften” kunnen conform art. 46 en 47 AVG eveneens hun verwerkingen continueren. Als de bindende bedrijfsvoorschriften onder aansturing van de Britse toezichthouder (ICO) tot stand zijn gekomen zij er enkele procedurele aandachtspunten.
Als de VK-toezichthouder besluit dat de AVG niet meer toereikend is, zal ook ten aanzien van export uit het VK naar de EU een volledig derde-landen regime gaan gelden. Onder de huidige Britse privacywetgeving betekent dat ook mogelijk het gebruik van door het VK goedgekeurde model exportcontracten.
Overgangsrecht
Art. 71 van het terugtrekkingsakkoord (niet te verwarren met het Brexit-akkoord) bevat een overgangsregeling voor “bestaande verwerkingen” van EU-gegevens (“legacy” personal data) in het VK. Die regeling houdt in dat tot een adequaatheidsbesluit tot stand is gekomen de AVG blijft gelden voor persoonsgegevens die voor het eind van de overgangsperiode in het VK werden verwerkt. De tekst van art. 71 is opgenomen onder dit bericht.
Grensoverschrijdende geschillen
Een nog niet genoemd gevolg van Brexit heeft betrekking op problemen met grensoverschrijdende verwerkingen van persoonsgegevens. Onder de AVG worden dergelijke geschillen gecoördineerd aangepakt door een lead authority. Per 1 januari geldt het zogenaamde one stop shop mechanisme (OSS) niet meer voor grensoverschrijdende verwerkingen tussen EU en VK. Dat betekent dat de afwikkeling van eventuele grensoverschrijdende problemen minder soepel zal verlopen omdat er een coördinerende toezichthouder ontbreekt.
Conclusie
Waarschijnlijk zal de EU komen met een adequaatheidsbesluit. In dat geval hoeven exporterende Nederlandse ondernemingen verder niets meer te doen. Nederlandse ondernemers die gegevens uit het VK importeren moeten wél checken of de exporteur een “representative” binnen de EU heeft aangewezen. En Nederlandse ondernemers die zonder eigen vestiging gegevens van Britse onderdanen verwerken in het VK moeten daar een “representative” aanwijzen. Als er signalen zijn dat de EU niet tijdig met een adequaatheidsbesluit zal komen moeten ondernemingen in de meeste gevallen zich erop voorbereiden om aanvullende overeenkomsten af te sluiten op basis van goedgekeurde model exportcontracten. Enige terughoudendheid is geboden: de ervaring leert dat het opstellen van een adequaatheidsbesluit erg lang kan duren!
Heeft u vragen over dit onderwerp? Neem dan contact op met Jan Berkvens, janberkvens@vdb-law.nl.