De Commissie is op 19 februari gestart met het proces voor de vaststelling van twee adequaatheidsbesluiten voor de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk: een in het kader van de algemene verordening gegevensbescherming en een in het kader van de richtlijn gegevensbescherming bij rechtshandhaving. De bekendmaking van de ontwerpbesluiten is de eerste stap in het vaststellingsproces. Dit houdt in dat het Europees Comité voor gegevensbescherming advies moet uitbrengen en dat een comité van vertegenwoordigers van de EU-lidstaten groen licht moet geven. Zodra deze procedure is afgerond, kan de Commissie de twee adequaatheidsbesluiten vaststellen.
De afgelopen maanden heeft de Commissie de wetgeving en praktijken van het Verenigd Koninkrijk op het gebied van de bescherming van persoonsgegevens zorgvuldig geëvalueerd, ook wat de regels inzake de toegang van overheidsinstanties tot gegevens betreft. De conclusie luidt dat het VK een beschermingsniveau biedt dat in wezen gelijkwaardig is aan dat in de algemene verordening gegevensbescherming en, voor het eerst, in de richtlijn gegevensbescherming bij rechtshandhaving.
Věra Jourová, vicevoorzitter voor Waarden en Transparantie: “Het waarborgen van vrij en veilig verkeer van persoonsgegevens is van cruciaal belang voor bedrijven en burgers aan weerszijden van het Kanaal. Het VK heeft de EU verlaten, maar niet de Europese privacyfamilie. Tegelijkertijd moeten we ervoor zorgen dat ons besluit toekomstbestendig is. Daarom hebben we duidelijke en strikte mechanismen ingevoerd om dergelijke besluiten te monitoren en te toetsen en eventueel op te schorten of in te trekken, mochten zich na de toekenning van de adequaatheidsstatus problematische ontwikkelingen in het Britse systeem voordoen.”
Didier Reynders, commissaris voor Justitie: “Voor het behoud van de nauwe handelsbetrekkingen en voor een doeltreffende samenwerking bij de bestrijding van criminaliteit is het van essentieel belang dat het gegevensverkeer tussen de EU en het VK veilig verloopt. Vandaag starten we met het proces dat daarvoor nodig is. We hebben het privacysysteem dat na de uitstap uit de EU in het VK van toepassing is, grondig gecontroleerd. Nu is het aan de Europese gegevensbeschermingsautoriteiten om de ontwerpteksten grondig te bestuderen. Het grondrecht van de EU-burgers op gegevensbescherming mag nooit in het gedrang komen wanneer persoonsgegevens het Kanaal oversteken. De adequaatheidsbesluiten moeten daarvoor zorgen.”
In andere niet-EU-landen moet het adequaatheidsproces zorgen voor convergentie tussen vaak divergerende systemen, maar in het VK is het EU-recht decennialang bepalend geweest voor de gegevensbeschermingsregeling. Het is ook van essentieel belang dat de adequaatheidsbesluiten toekomstbestendig zijn nu het VK niet langer gebonden zal zijn door de EU-privacyregels. Daarom krijgen de besluiten, wanneer ze worden vastgesteld, een initiële geldigheidsduur van vier jaar. Na vier jaar kan het adequaatheidsbesluit worden verlengd mits het beschermingsniveau in het VK dan nog steeds toereikend is.
In de tussentijd is de veiligheid van het gegevensverkeer tussen de Europese Economische Ruimte en het VK verzekerd dankzij een voorwaardelijke interimregeling die is overeengekomen in de handels- en samenwerkingsovereenkomst tussen de EU en het VK. Deze overgangsperiode loopt af op 30 juni 2021.
Na rekening te hebben gehouden met het advies van het Europees Comité voor gegevensbescherming zal de Europese Commissie de vertegenwoordigers van de lidstaten in het kader van de zogenaamde comitologieprocedure vragen groen licht te geven. Daarna kan de Europese Commissie de definitieve adequaatheidsbesluiten voor het VK vaststellen.
Artikel 45, lid 3, van de algemene verordening gegevensbescherming en artikel 36, lid 3, van de richtlijn gegevensbescherming bij rechtshandhaving geven de Commissie de bevoegdheid om door middel van een uitvoeringshandeling te besluiten dat een niet-EU-land “een adequaat beschermingsniveau” verzekert, d.w.z. een beschermingsniveau voor persoonsgegevens dat in wezen gelijkwaardig is aan het beschermingsniveau in de EU. Als een niet-EU-land “adequaat” is bevonden, kan de doorgifte van persoonsgegevens van de EU aan dat land zonder verdere voorwaarden plaatsvinden.
In het VK valt de verwerking van gegevens onder de Britse tegenhanger van de algemene verordening gegevensbescherming en onder de wet gegevensbescherming van 2018. Beide wetten zijn gebaseerd op de algemene verordening gegevensbescherming van de EU en op de EU-richtlijn gegevensbescherming bij rechtshandhaving. Ze zijn vergelijkbaar met het EU-recht wat betreft waarborgen, individuele rechten, verplichtingen voor verwerkingsverantwoordelijken en verwerkers, regels inzake internationale doorgiften, toezichtsystemen en verhaalmogelijkheden. De ontwerpbesluiten omvatten ook een gedetailleerde beoordeling van de voorwaarden en beperkingen, alsook van de toezichtsmechanismen en rechtsmiddelen die van toepassing zijn op de toegang van Britse overheidsinstanties tot gegevens, met name voor rechtshandhavingsdoeleinden en nationale veiligheidsdoeleinden.
Vermeldenswaard is dat het VK partij is – en heeft belooft dat te blijven – bij het Europees Verdrag tot bescherming van de rechten van de mens en bij het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa, het enige bindende multilaterale instrument inzake gegevensbescherming. Dit betekent dat het VK, hoewel het de EU heeft verlaten, lid blijft van de Europese “privacyfamilie”. Blijvende naleving van dergelijke internationale verdragen is van bijzonder belang voor de stabiliteit en duurzaamheid van de voorgestelde adequaatheidsbesluiten.
De ontwerpadequaatheidsbesluiten die vandaag aan het Europees Comité voor gegevensbescherming worden toegezonden, hebben betrekking op het gegevensverkeer van de EU naar het VK. Gegevensverkeer in de andere richting – van het VK naar de EU – valt onder de Britse wetgeving, die sinds 1 januari 2021 van toepassing is. Het VK heeft besloten dat de EU een adequaat beschermingsniveau verzekert en dat gegevens daarom vrij van het VK naar de EU kunnen.
