Op 31 januari 2020 heeft het Verenigd Koninkrijk de Europese Unie (EU) verlaten. Tot 31 december 2020 geldt een overgangsperiode. Gedurende die overgangsperiode blijft de AVG in het Verenigd Koninkrijk van kracht. Ondertussen onderhandelen partijen over de nieuwe verhoudingen, waaronder ook de uitwisseling en bescherming van persoonsgegevens. De impact op het dataverkeer tussen het Verenigd Koninkrijk en de lidstaten is afhankelijk van de uitkomst van deze onderhandelingen.
Door Wieger Weijland & Floortje Eijdems
Door de uittreding is het Verenigd Koninkrijk als een ‘derde land’ buiten de EU aan te merken. Doorgifte van persoonsgegevens naar een derde land mag enkel als een ‘passend beschermingsniveau’ wordt gewaarborgd. In deze blog staan we stil bij de mogelijkheden na de overgangsperiode en zetten we de meest voorkomende mogelijkheden uiteen om uitwisseling van persoonsgegevens met het Verenigd Koninkrijk mogelijk te maken.
Indien het Verenigd Koninkrijk na de overgangsperiode besluit om de normen voor de bescherming van persoonsgegevens uit de AVG één-op-één over te nemen, dan zal snel en eenvoudig vast komen te staan dat doorgifte van en naar het Verenigd Koninkrijk rechtmatig is. Dit lijkt ons de meest voor de hand liggende oplossing nu organisaties in het Verenigd Koninkrijk de AVG op dit moment al als uitgangspunt nemen. De Europese Commissie kan het land middels een adequaatheidsbesluit vervolgens bestempelen als een land met een passend beschermingsniveau. Uitwisseling op basis van een adequaatheidsbesluit kan plaatsvinden zonder dat partijen die de gegevens aan elkaar verstrekken additionele maatregelen hoeven te treffen.
Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, gaf in een interview onlangs aan dat als het Verenigd Koninkrijk besluit om de AVG volledig om te zetten naar nationale wetgeving, de Europese Commissie “als het ware binnen drie minuten de knoop kan doorhakken”. De AVG biedt immers een passend beschermingsniveau.
Het is mogelijk dat het Verenigd Koninkrijk de AVG niet één-op-één overzet naar nationale wetgeving of zelfs een geheel ander wettelijke regime ten aanzien van bescherming van persoonsgegevens implementeert. In dat geval zal het onderzoek naar het beschermingsniveau door de Europese Commissie langer duren en een eventueel adequaatheidsbesluit langer op zich laten wachten. In de tussentijd moet de doorgifte uiteraard wel op basis van passende waarborgen gebeuren (zie hieronder). Ook bestaat het risico dat een adequaatheidsbesluit uitblijft als de Europese Commissie vaststelt dat het beschermingsniveau onvoldoende is. Hetgeen niet onvermijdelijk is als het Verenigd Koninkrijk besluit de open normen uit de AVG minder streng in te vullen. Deze open normen zorgen binnen de EU sinds de invoering van de AVG voor onduidelijkheid en verschillen in interpretatie tussen de toezichthouders.
Een passend beschermingsniveau moet dan op andere manieren worden gewaarborgd. De meest voorkomende middelen zijn modelcontracten, bindende bedrijfsvoorschriften, of de uitzonderingssituaties die expliciet worden genoemd in de AVG.
Modelcontracten
De Europese Commissie heeft modelcontracten (‘standard conctractual clauses’) opgesteld waarmee een passend beschermingsniveau kan worden gewaarborgd. Door het modelcontract overeen te komen met de ontvanger in het derde land, kan de doorgifte van persoonsgegevens blijven plaatsvinden. De doorgifte op basis van modelcontracten biedt op dit moment een relatief eenvoudige manier om snel tot een passend beschermingsniveau te komen. De geldigheid van de modelcontracten staan echter ter discussie. Momenteel loopt er een procedure bij het Hof van Justitie van de Europese Unie (Schrems II). De advocaat-generaal is voorafgaand aan het oordeel van het HvJEU van mening dat de modelcontracten geldig zijn en dus voldoende waarborgen bieden. Het is nog even wachten of het HvJEU zich hierbij aansluit.
Bindende bedrijfsvoorschriften
Binnen internationale organisaties of multinationals worden geregeld persoonsgegevens doorgegeven aan andere vestigingen. Hiervoor kunnen bindende bedrijfsvoorschriften (ook wel ‘binding corporate rules’ of BCR genoemd) een oplossing bieden. Dit zijn interne gedragscodes voor organisaties ten aanzien van de verwerking van persoonsgegevens.
Helaas zal dit voor de doorgifte naar het Verenigd Koninkrijk in de praktijk enkel een oplossing zijn voor bedrijven die al enige tijd geleden een aanvraag hebben ingediend voor de goedkeuring of reeds goedkeuring hebben gekregen van de AP ten aanzien van hun BCR’s. Vorig jaar maakte de Minister voor Rechtsbescherming Sander Dekker namelijk bekend dat de wachttijd voor de goedkeuring van deze voorschriften momenteel 3 tot 5 jaar betreft. Wie nu bindende bedrijfsvoorschriften wil voorleggen aan de toezichthouder om passende waarborgen te bewerkstelligen in geval van een Brexit, zal waarschijnlijk niet vóór 2021 een goedkeuring daarop krijgen.
Uitzonderingssituaties
Ondanks het ontbreken van een adequaatheidsbesluit of een ander mechanisme dat een passend beschermingsniveau waarborgt, is ingevolge de AVG internationale doorgifte toch mogelijk in een van de volgende gevallen:
de betrokkene geeft uitdrukkelijke toestemming voor doorgifte;
de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst waar betrokkene partij bij is/wordt;
de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst in het belang van de betrokkene;
de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang;
de doorgifte is noodzakelijk voor een juridische procedure;
de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van betrokkenen.
Indien bovenstaande mogelijkheden allemaal geen uitkomst bieden kan, wanneer doorgifte niet repetitief is, het om een beperkt aantal betrokkenen gaat, noodzakelijk is voor de dwingende en gerechtvaardigde belangen van de verwerkingsverantwoordelijke en deze zwaarder wegen dan de belangen van de betrokkenen, alsnog worden doorgegeven aan een derde land. Vergeet daarbij niet de toezichthoudende autoriteit en betrokkenen te informeren over deze doorgifte.
De uitkomst van de onderhandelingen tussen het Verenigd Koninkrijk en de EU zullen duidelijkheid moeten scheppen over de gevolgen voor de uitwisselingen van persoonsgegevens tussen het Verenigd Koninkrijk en de EU. Meest voor de hand liggend is ons inziens nog steeds dat het Verenigd Koninkrijk de AVG omzet naar Verenigd Koninkrijk versie van de AVG (of UK GDPR) en dat door middel van een adequaatheidsbesluit uitwisseling kan plaatsvinden. In dat geval hoeft er voor internationale organisaties of ondernemingen die data uitwisselen met het Verenigd Koninkrijk niet veel aan de hand te zijn. Is de uitkomst van onderhandelingen echter anders en zet het Verenigd Koninkrijk de distantiering van de EU door, dan moeten er aanvullende maatregelen worden getroffen.