Ik heb een vraag! neem contact op
Het antwoord is nee, dat mag u niet. Althans niet zonder meer. De Algemene Verordening Gegevensbescherming (AVG) stelt beperkingen aan het uitwisselen van persoonlijke data met niet Europese Unie (EU) landen.
Met nog maar circa 3 weken voor de boeg is de Brexit op 1 januari 2021 ook juridisch een feit. Weliswaar is het Verenigd Koninkrijk na 31 januari 2020 al geen lid meer van de Europese Unie, maar alle Europeesrechtelijke afspraken tussen de Europese Unie en het Verenigd Koninkrijk zijn nog steeds van kracht. Aan deze transitieperiode komt 1 januari aanstaande een eind.
Er wordt nog steeds onderhandeld op verschillende gebieden. Zoals de visserij, het creëren van een Level Playing field voor het zaken doen (dus geen directe of indirecte concurrentievervalsing) en het organiseren van het toezicht op de naleving van regels en gemaakte afspraken. Maar het eind is nu toch echt in zicht en de vraag of nog net op de valreep een deal wordt bereikt is op het moment van het schrijven van deze bijdrage niet zeker.
En ook al komt het tot een akkoord, het is haast niet goed denkbaar dat daarin alle facetten van een goede ontvlechting van het Verenigd Koninkrijk en de Europese Unie uitputtend zal zijn geregeld. Daar is eenvoudig te weinig tijd voor geweest. Dit alles heeft tot gevolg, dat ondernemers zich op tal van onderwerpen moeten voorbereiden. Vorig jaar hebben wij op een aantal juridisch onderwerpen waar ondernemers mee te maken kunnen krijgen behandeld. Het is goed om een aantal van deze onderwerpen zo kort voor de valreep in herinnering te brengen, te beginnen met de impact van Brexit op de privacybescherming.
Zoals het er nu naar uitziet verkrijgt het Verenigd Koninkrijk met ingang van 1 januari 2021 de status van een zogenaamd ‘derde land’ in de zin van de AVG. Het Verenigd Koninkrijk is geen lid meer van de EER, terwijl het overgangsregime op 31 december aanstaande ten einde komt. Zo’n derde land wordt verondersteld niet een zodanig niveau van privacybescherming aan haar burgers te bieden als binnen EU gewaarborgd is. Daar valt inhoudelijk misschien het nodige op af te dingen, maar het juridische gevolg is wel, dat met ingang van 1 januari 2021 u niet zonder meer persoonsgegevens met het Verenigd Koninkrijk mag uitwisselen.
De Europese Unie kan uitkomst bieden in de vorm van het aanwijzen van een adequaatheidsbesluit maar de verwachting is dat een dergelijk besluit (te) lang op zich laat wachten. Ondertussen wordt overwogen om afspraken over persoonsgegevens tijdelijk als onderdeel van het huidige pakket op te nemen, maar ook daarover is nog geen zekerheid.
Mogelijkheden zoals het stoppen van het doorgeven van data naar het Verenigd Koninkrijk of het verplaatsen van uw serviceprovider / gegevensverwerker naar EU-gebied als daar nog tijd voor is – en waarbij het de vraag is of dit operationeel en contractueel mogelijk is – kunnen zeer zijn ingrijpend voor uw bedrijfsvoering. Er zijn mogelijkheden met minder grote gevolgen.
De meest voor de hand liggende optie is momenteel om nog steeds om gebruik maken van de modelcontracten die door Europese Commissie zijn vastgesteld. U treft deze aan op de website van de Europese Commissie. Deze Standard Contractual Clauses zijn evenwel gedateerd. Voorts zijn op 12 november 2020 twee nieuwe sets ter consultatie gepubliceerd, mede naar aanleiding van de uitspraak van het Hof van Justitie op 20 juli 2020 in de zogenaamde Schrems II zaak. In deze zaak oordeelde het Hof ( naar aanleiding van doorgifte van persoonsgegevens naar de Verenigde Staten) dat het gebruik van de modelcontracten mogelijk is, mits u nagaat dat het land van ontvangst van de persoonsgegevens, zoals het Verenigd Koninkrijk, een vergelijkbaar privacy beschermingsniveau heeft als in de AVG is voorzien. Daarvan dient u zich als doorgever van persoonsgegevens goed op de hoogte te stellen. Indien privacy risico’s in het geding zijn, bijvoorbeeld wanneer er kans is dat overheidsinstanties toegang kunnen krijgen tot persoonsgegevens, moet u ondermeer adequate technische en organisatorische maatregelen nemen om privacy risico’s te beperken. Ook dient u met de ontvanger van persoonsgegevens af te spreken, dat deze u op de hoogte stelt als hij niet meer in het beschermingsniveau kan voorzien op grond waarvan u de doorgifte van persoonsgegevens (tijdelijk) kunt stoppen of aanvullende maatregelen kunt treffen. De European Data Protection Board (EDPB) heeft aanbevelingen gepubliceerd waarin handvatten worden geboden om deze beoordeling te doen. Ook deze documenten bevinden zich nog in de consultatiefase en zijn dus niet definitief.
Bij gebruikmaking van deze standaardovereenkomsten mag u inhoudelijk niets wijzigen. Wel kunt u de EU-modelcontracten als basis gebruiken voor uw eigen overeenkomst, mits de inhoud en strekking van het E- model in de toepassing van uw eigen overeenkomst ongewijzigd blijft. Ons advies is om juridische assistentie bij het redigeren van de overeenkomsten in te schakelen.
Nu in het Verenigd Koninkrijk tot 31 december 2020 de AVG geldt, ligt het in de rede te veronderstellen, dat het beschermingsniveau na 1 januari a.s. niet opeens wezenlijk anders zal zijn. In dat geval blijft het gebruik maken van de modelcontracten bij doorgifte van persoonsgegevens naar het Verenigd Koninkrijk na 1 januari 2021 voorlopig mogelijk. Blijkens uitingen van de onderhandelaars kan het beschermingsniveau in het Verenigd Koninkrijk door wijzigingen in regelgeving echter ook anders worden. Dan zal bezien moeten worden of het gebruik maken nog steeds een optie is.
Alles overziende lijkt het gebruik maken van de EU-modelcontracten voor op de korte termijn de meest praktische oplossing. Wel doet u er verstandig aan een risico-assessment te houden om te zien dat de verwerking van persoonsgegevens in het Verenigd Koninkrijk overeenkomstig de geldende privacy regels plaats en met de AVG vergelijkbaar beschermingsniveau biedt zoals dat tot 31 december 2020 het geval is geweest.
Blijft u ook na 1 januari 2021 zaken doen met ondernemingen in het Verenigd Koninkrijk en geeft u als afnemer of als leverancier van producten en/of diensten persoonsgegevens door aan in het Verenigd Koninkrijk gevestigd personen, ondernemingen of instellingen? Of is een bedrijfsonderdeel van uw concern in het Verenigd Koninkrijk gevestigd? Dan kunnen ook andere aandachtspunten spelen, zoals het benoemen van een “Data Protection Officer” in het Verenigd Koninkrijk en het niet langer door VK organisaties kunnen gebruiken van een .EU domeinnaam. Beoordeel welke maatregelen nodig zijn en laat u adviseren indien nodig. Onze specialisten zijn u graag behulpzaam !
Wij geven u graag nieuwe (internationale) inzichten op het gebied van financiën, bedrijfsvoering, strategie, governance, risk, compliance en meer.