Op 12 februari 2019 heeft de European Data Protection Board (‘EDPB’) een notitie gepubliceerd over de vraag wat een no-deal Brexit betekent voor de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk. De EDPB is het orgaan waarin alle privacy toezichthouders van lidstaten uit de Europese Unie verenigd zijn. Hieronder wordt besproken wat de EDPB hier precies over heeft gezegd en wat u kunt doen wanneer uw organisatie persoonsgegevens deelt met partijen die zich in het Verenigd Koninkrijk bevinden.
Wat zijn de consequenties van een no-deal Brexit voor de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk?
Alle lidstaten van de Europese Unie zijn gebonden aan de Algemene Verordening Gegevensbescherming (‘AVG’). De AVG is een verordening. Dat wil zeggen dat de regels rechtstreeks van toepassing zijn in alle lidstaten. De AVG is dus niet geïmplementeerd in de nationale wetgeving, zoals bij een Europese richtlijn wel het geval is. In geval van een no-deal scenario zal de AVG dan ook niet meer van kracht zijn binnen het Verenigd Koninkrijk. In dat geval zal het Verenigd Koninkrijk vanaf 30 maart 2019 – de dag dat zij (vooralsnog) uit de Europese Unie stapt – in de terminologie van de AVG gekwalificeerd worden als een ‘derde land’.
Doorgifte van persoonsgegevens aan organisaties in derde landen is onder de AVG alleen mogelijk indien de AVG dit specifiek toestaat doordat er bijvoorbeeld aanvullende maatregelen zijn getroffen om ervoor te zorgen dat de persoonsgegevens voldoende worden beschermd. Let op: er is al sprake van doorgifte c.q. verwerking wanneer persoonsgegevens alleen maar geraadpleegd worden vanuit een derde land. Ook voor de opslag, inzage, wijziging, vernietiging etc. van persoonsgegevens vanuit en naar derde landen dienen kortom aanvullende maatregelen getroffen te worden.
Welke mogelijke oplossingen zijn er om persoonsgegevens te mogen doorgeven aan het Verenigd Koninkrijk na een no-deal Brexit?
- Ondubbelzinnige toestemming
Een maatregel die getroffen kan worden is het vragen van ondubbelzinnige toestemming aan elke betrokkene van wie de persoonsgegevens worden doorgegeven. Die toestemming moet dan wel in vrijheid gegeven zijn en specifiek betrekking hebben op de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk. In de praktijk zal het in veel gevallen niet werkbaar zijn om van iedereen toestemming te verkrijgen. Bovendien kan eenmaal gegeven toestemming ook altijd weer worden ingetrokken.
Wanneer het gaat om de doorgifte van persoonsgegevens naar een vestiging van een onderneming die zich buiten de Europese Unie bevindt, kunnen Binding Corporate Rules een uitkomst bieden. Deze maatregel is echter alleen bedoeld voor gegevensverkeer binnen hetzelfde concern. Bovendien moeten Binding Corporate Rules altijd eerst worden goedgekeurd door de toezichthouder(s) voordat zij rechtsgeldig gebruikt kunnen worden, waarmee dit voor de praktijk geen haalbare optie (meer) is.
- Gedragscodes en certificeringsmechanismen
Ook gedragscodes en certificeringsmechanismen worden in de AVG genoemd als passende waarborgen voor de doorgifte van persoonsgegevens aan derde landen. De EDPB geeft echter aan dat zij momenteel nog steeds werkt aan richtlijnen waarin uitleg wordt gegeven over de geharmoniseerde voorwaarden en procedure voor het gebruik van deze waarborgen. Zowel richtlijnen over gedragscodes als richtlijnen over de beoordeling van certificeringscriteria zijn reeds voor openbare raadpleging gepubliceerd, maar zijn nog niet definitief vastgesteld. Ook dit lijkt dus vooralsnog geen realistische optie.
Last but not least, heeft de Europese Commissie zogeheten modelcontracten opgesteld. Deze contracten bieden aanvullende waarborgen die nodig zijn in het geval van overdracht van persoonsgegevens naar een derde land. Gezien de tijd die nog rest tot aan 30 maart 2019, lijkt deze optie de beste uitkomst te bieden. De modelcontracten zijn immers een gebruiksklaar instrument, hoewel ook de implementatie hiervan enige tijd zal vergen.
Het is belangrijk om te weten dat de bepalingen in de modelcontracten (in beginsel) niet door partijen gewijzigd mogen worden. Wel mogen de modelcontracten als bijlage bij een ander contract worden opgenomen, zolang de overige afspraken in dat contract niet direct of indirect in tegenspraak zijn met de modelcontracten.
Het Verenigd Koninkrijk valt niet onder één van de landen met een aparte status
Maar geldt dit Brexit regime dan ook voor alle andere landen die geen lid zijn van de Europese Unie? Het antwoord is nee. Doorgifte van persoonsgegevens aan IJsland, Liechtenstein en Noorwegen is immers toegestaan zonder het treffen van aanvullende maatregelen. Dit is het geval, omdat deze landen tot de Europese Economische Ruimte behoren en daarom eveneens een gelijkwaardig niveau van bescherming van persoonsgegevens kennen. Deze landen nemen ook plaats in de EDPB, maar hebben geen stemrecht.
Een land met een aparte status als het gaat om de doorgifte van persoonsgegevens betreft de Verenigde Staten. Daarmee heeft de Europese Unie immers het zogeheten Privacy Shield gesloten. Dat is een verdrag waarin afspraken zijn gemaakt over de bescherming van persoonsgegevens. Op grond van dat verdrag mogen persoonsgegevens worden doorgegeven aan Amerikaanse organisaties die wat betreft de betreffende verwerking gecertificeerd zijn onder het Privacy Shield.
Tot slot heeft de Europese Commissie een aantal adequaatheidsbesluiten genomen op grond waarvan doorgifte aan derde landen is toegestaan. Voorbeelden van landen waarover dergelijke besluiten zijn genomen, betreffen Zwitserland, Israël en Japan. De Europese Commissie neemt een adequaatheidsbesluit wanneer zij van oordeel is dat het betreffende land een beschermingsniveau biedt dat gelijkwaardig is aan het beschermingsniveau dat binnen de Europese Unie geldt. De EDPB benadrukt dat er momenteel (nog) geen adequaatheidsbesluit bestaat voor het Verenigd Koninkrijk.
Doorgifte vanuit het Verenigd Koninkrijk
Volgens de Britse regering zal de huidige praktijk, waarin de vrije doorgifte van persoonsgegevens vanuit het Verenigd Koninkrijk naar de EER is toegestaan, in geval van een no-deal Brexit worden voortgezet. Organisaties die enkel persoonsgegevens vanuit het Verenigd Koninkrijk ontvangen, lijken dus geen extra maatregelen te hoeven treffen.
Wat gebeurt er als er wel een deal wordt gesloten?
Uit de Draft Brexit Agreement kan worden afgeleid dat EU wetgeving inzake de gegevensbescherming – zoals de AVG en ePrivacyverordening – gedurende de overgangsperiode in het Verenigd Koninkrijk zal blijven gelden. De overgangsperiode duurt tot en met 31 december 2020. Dit houdt concreet in dat er geen extra maatregelen getroffen hoeven te worden voor de overdracht van persoonsgegevens aan het Verenigd Koninkrijk zodra zij uit de Europese Unie stapt. Het Verenigd Koninkrijk zal bovendien proberen om voor 1 januari 2021 een adequaatheidsbesluit te verkrijgen, zodat de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk ook na de overgangsperiode ongestoord kan worden voortgezet. In feite is dit een soort EER regime met als belangrijk verschil dat het Verenigd Koninkrijk geen plaats zal nemen in de EDPB.