Nieuws

Gegevensdoorgifte post Brexit: doorgifte naar een normconform eiland?

Doorgifte van persoonsgegevens aan het Verenigd Koninkrijk na de Brexit…

Lidstaten van de Europese Unie worden bij de onderlinge doorgifte van persoonsgegevens geacht een gelijkwaardig beschermingsniveau te bieden inzake.

Bij de uittrede van het Verenigd Koninkrijk uit de Europese Unie zal ze niet meer onderworpen zal zijn aan de Europese regelgeving en zal een wijziging van de huidige regelgeving en praktijken die aan de gegevensbescherming raken, een nieuwe evaluatie van de doorgiftemogelijkheden aan dat land nodig maken.

De Lidstaten en Commissie communiceren onderling omtrent eventuele beschermingstekorten in derde landen.

De Commissie heeft reeds een witte lijst opgesteld met de derde landen waarvan zij acht dat zij een voldoende gegevensbescherming bieden. Het Verenigd Koninkrijk staat er nog niet …

Doorgiftes aan derde landen die niet op deze lijst staan zullen vervolgens verboden worden, behoudens enkele uitzonderingen die voldoende waarborgen garanderen zoals contractbepalingen toegestaan door een toezichthoudende autoriteit, standaardbepalingen inzake gegevensbescherming vastgesteld door de Commissie of een toezichthoudende autoriteit of bindende bedrijfsvoorschriften.

Overgangsperiode 2021

Thans is er op 25 december 2020 een akkoord gesloten tussen het Verenigd Koninkrijk en de andere EU-landen waardoor er een nieuwe overgangsperiode is die loopt vanaf 1 januari 2021.

Mits het Verenigd Koninkrijk bepaalde voorwaarden eerbiedigt, zal een overdracht niet als overdracht naar een derde land beschouwd worden, en dit voor 4 maanden, desgevallend verlengd met 2 maanden zo niemand zich daartegen verzet.

Bij het nemen van een adequaatheidsbesluit door de Commissie eindigt voormeld Brexit akkoord en kan men gegevens verder overdragen zonder bijzondere maatregelen.

Zo de Commissie tegen 1 juli 2021 niet in een adequaatheidsbesluit bevestigt dat er sprake is van een passend beschermingsniveau, zal de gegevensoverdracht geacht worden gedaan te zijn buiten de EU. In dergelijke gevallen reikt de algemene verordening gegevensbescherming 2016/679 de alternatieve oplossing van de passende waarborgen aan, zoals het gebruik van contractuele clausules en bindende bedrijfsvoorschriften.

Ons advies:

Ondernemingen en instanties die in het kader van hun activiteiten gegevens doorgeven naar het Verenigd Koninkrijk en die de AVG (algemene verordening gegevensbescherming 2016/679) moeten eerbiedigen, zullen de verdere evoluties in de regelgeving, dan wel gehanteerde praktijken inzake gegevensdoorgifte en -bescherming aan het Verenigd Koninkrijk verder dienen opvolgen.

Bestaande rechtsverhoudingen met gegevensdoorgifte aan het Verenigd Koninkrijk zullen in de toekomst opnieuw beoordeeld moeten worden.

Een tijdige inwinning van de nodige informatie om gegevensdoorgifte aan het Verenigd Koninkrijk met de AVG in regel te stellen, is gelet op het risico op belangrijke boetes dus eerder een gerechtvaardigde investering dan een overbodige luxe.

De Algemene Verordening gegevensbescherming 2016/679 bepaalt inderdaad aanzienlijke boetes voor enige inbreuk op haar bepalingen. Die kunnen oplopen tot 20.000.000 EUR of 4% van de jaarlijks wereldwijde omzet van de groep in het voorgaande boekjaar.

van Anne Custers

Enige vraag?

Contacteer ons
sem, ut commodo in ut fringilla id felis Lorem vel, consequat. dolor.