De scenario’s van de Brexit stemming

Het Britse parlement heeft gisteren gestemd over de Brexit deal die May vorig jaar sloot in Brussel. Een forse meerderheid stemde tegen de Brexit deal van May. De uitkomst die deze stemming kon hebben heeft invloed op het gebied van gegevensbescherming. Wij schetsen hier alsnog de scenario’s die de verschillende uitkomsten konden hebben met betrekking tot gegevensbescherming in het kader van de Brexit.

No-deal, nog geen Brexit     

Nu de stemming in het Britse parlement is geweest weten we dat er geen akkoord is gegeven op de Brexit deal van May. Er is echter nog niet bekend wat voor specifieke gevolgen dit zal hebben en wanneer de Brexit precies zal plaatsvinden. Er zal nu opnieuw verder worden onderhandeld over de Brexit. We zullen daarom nog even moeten wachten voordat we zeker weten wat de stappen zijn die genomen dienen te worden in het kader van gegevensbescherming. Zo kan het zijn dat het VK zal voorstellen de Brexit ingevolge Artikel 50 van het EU Verdrag uit te stellen. Alle 27 lidstaten moeten daar in dat geval wel voor 29 maart 2019 mee instemmen. Ook kan het zijn dat het VK Artikel 50 van het EU Verdrag intrekt. De komende dagen zullen hierover meer duidelijkheid brengen.

No-deal, Brexit op 29 maart 2019

Nu er geen akkoord op de Brexit deal van May werd gegeven door het Britse parlement is er inderdaad sprake van een no-deal scenario. Dit zou formeel betekenen dat het VK de EU op 29 maart 2019 zou verlaten zonder duidelijke afspraken over de toekomstige verhoudingen tussen enerzijds het VK en anderzijds de EU. Of dit daadwerkelijk gebeurt moeten wij nog afwachten. Indien dit wel het geval is zal het VK vanaf dan officieel geen EU-lidstaat meer zijn en zal het gezien worden als een ‘derde land’. Het VK heeft reeds aangegeven dat de regels uit de AVG (welke zijn opgenomen in de Data Protection Act 2018) ook na de Brexit blijven gelden. Desalniettemin, indien er persoonsgegevens verwerkt worden in of worden uitgewisseld met het VK zullen er gevolgen zijn voor het verwerken van die persoonsgegevens gezien het feit dat het VK dan juridisch als derde land beschouwt dient te worden.

Brexit deal   

In het geval dat het Britse parlement wel akkoord had gegeven op de Brexit deal van May hadden de afspraken in de “Withdrawal Agreement” de verhoudingen geregeld tussen de EU en het VK. Een belangrijk aspect van deze overeenkomst is dat er een overgangsperiode was voorzien van 29 maart 2019 t/m 31 december 2020. In deze periode zou het VK nog steeds gebonden zijn aan het EU-recht. Dat wil zeggen dat gedurende de overgangsperiode ook de AVG nog van toepassing zou zijn op het VK, via een ingewikkelde juridische constructie.

Artikel 127(6) van de “Withdrawal Agreement” vermeldt dat tijdens de overgangsperiode elke verwijzing in het EU-recht naar ‘lidstaten’ gelezen dient te worden met inbegrip van het VK. Dat is een belangrijke vermelding aangezien het betekent dat het VK tijdens de overgangsperiode niet wordt gezien als ‘derde land’. Tot eind 2020 zouden er dus geen significante veranderingen plaatsvinden ten opzichte van de huidige situatie indien er met, of vanuit, het VK persoonsgegevens zouden worden verwerkt. Na deze periode zou echter het VK officieel geen EU-lidstaat meer zijn, maar zou het gezien worden als ‘derde land’.

In dat opzicht is Artikel 71 van de “Withdrawal Agreement” interessant. Het artikel geeft aan dat na de overgangsperiode het VK verder zou gaan met het toepassen van EU-wetgeving die vóór de Brexit van toepassing was op persoonsgegevens van betrokkenen buiten het VK. Reden hiervoor is om te zorgen dat er geen rechtsvacuüm ontstaat na het einde van de overgangsperiode. Het artikel vermeldt dat deze situatie zou voortduren totdat er nieuwe regels voor gegevensoverdrachten waren overeengekomen met de EU.  De veronderstelling is dat deze nieuwe regels direct na de afloop van de overgangsperiode van kracht zouden worden. 

Na de overgangsperiode zou het VK voor de EU een ‘derde land’ worden en zou Artikel 44 van de AVG over verwerkingen die bestemd zijn voor doorgiftes aan een ‘derde land’ van toepassing zijn. Dit artikel ziet er op toe dat persoonsgegevens alleen mogen worden doorgegeven indien de verwerkingsverantwoordelijk en de verwerker voldoen aan specifieke vereisten. Doorgaans, met inachtneming van een aantal uitzonderingen, zijn er drie betrouwbare opties op basis waarvan een verwerkingsverantwoordelijke of verwerker kan voldoen aan die vereisten. Het VK heeft aangegeven dat het hoopt op een adequaatheidsbesluit van de Europese Commissie aangezien dit enkel minimale veranderingen teweeg zal brengen ten opzichte van de situatie waarin het VK lid was van de EU. 

 

De mogelijkheden voor gegevensdoorgiften tussen de EU en het VK zijn:

  1. Doorgiften op basis van een adequaatheidsbesluit. In bepaalde gevallen kan de Europese Commissie besluiten dat een derde land een passend beschermingsniveau waarborgt. In dergelijke gevallen zijn er slechts geringe afwijkende vereisten waaraan dient te worden voldaan voordat er een gegevensoverdracht plaatsvindt. 

    Indien er een akkoord werd gegeven op de deal zouden er gedurende de overgangsperiode (tot eind 2020) geen significante veranderingen plaats vinden ten opzichte van de huidige situatie. Tijdens de overgangsperiode zou er over een adequaatheidsbesluit worden onderhandeld. Indien de Europese Commissie een adequaatheidsbesluit zou afgeven voor het VK zou dit in de toekomst de beste optie bieden voor gegevensoverdrachten tussen de EU en het VK.

    In het geval van een no-deal is het onmogelijk dat de Europese Commissie voor 29 maart 2019 of kort daarna een adequaatheidsbesluit zal uitgeven voor het VK. De procedure is daarvoor te ingewikkeld. Een adequaatheidsbesluit is op dit moment dan ook geen optie. In bepaalde gevallen kan de Europese Commissie besluiten dat een derde land een passend beschermingsniveau waarborgt. In dergelijke gevallen zijn er slechts geringe afwijkende vereisten waaraan dient te worden voldaan voordat er een gegevensoverdracht plaatsvindt.

  1. Standaardbepalingen inzake gegevensbescherming. De Europese Commissie heeft drie modelcontracten (mogelijk beter bekend als Standard Contractual Clauses; SCC’s) goedgekeurd welke gebruikt kunnen worden voor gegevensdoorgiften naar derde landen. Deze modelcontracten verschillen naargelang de specifieke verhoudingen tussen de partijen die gegevens wensen uit te wisselen. 

    In het geval van een no-deal is deze optie de meest gangbare voor alle gegevensoverdrachten vanaf 29 maart 2019. Partijen dienen in dit geval modelcontracten af te sluiten voordat er gegevensoverdrachten mogen plaats vinden tussen de EU en het VK.

  1. Bindende bedrijfsvoorschriften (Binding Corporate Rules; BCRs). Bindende bedrijfsvoorschriften zijn regels die gegevensoverdrachten regelen tussen verschillende entiteiten binnen een internationaal bedrijf of organisatie. Deze regels worden veelal gebruikt door multinationals om de internationale gegevensoverdrachten binnen het bedrijf te beschermen. 

    Deze optie zou een oplossing kunnen bieden voor bedrijven waarbij een entiteit is gevestigd in het VK. Echter, gezien de lange periode die nodig is om BCR’s te implementeren zal dit voor veel bedrijven niet de meest voor de hand liggende oplossing bieden op korte termijn.

Heeft u vragen over wat de gevolgen zijn van de Brexit voor uw bedrijfsvoering, neem dan gerust contact met ons op!

 

Jonathan Toornstra Juridisch Adviseur

Neem direct contact op

Neem contact met me op