Is het nog steeds mogelijk om persoonsgegevens over te dragen naar Groot-Brittannië? En is het nog mogelijk om persoonsgegevens van Groot-Brittannië naar Nederland en de rest van de EU over te dragen?
Ja, Groot-Brittannië (GB) is formeel nog steeds een lidstaat van de EU. De Europese privacywetgeving is nog steeds van toepassing op GB. De verwachting is dat het een aantal jaren gaat duren voordat GB formeel geen EU-lid meer is. Nadat GB formeel de EU heeft verlaten zal het afhangen van de relatie tussen de EU en GB onder welke voorwaarden de overdacht van persoonsgegevens plaats kan vinden.
Hoe zit het met het privacy- en gegevensbeschermingsrecht in de toekomst? Gaat het privacy- en gegevensbeschermingsrecht in GB de aankomende jaren veranderen?
De nieuwe EU privacy- en gegevensbeschermingswet (Algemene Verordening Gegevensbescherming) welke vanaf 25 mei 2018 toepasbaar is in de EU zal waarschijnlijk niet toepasbaar zijn in GB als we aannemen dat GB dan de EU heeft verlaten. Verordeningen zijn alleen direct toepasbaar in de EU-lidstaten. Wanneer GB de handel met de EU voort wilt zetten moet GB ervoor zorgen dat er een adequaat beschermingsniveau is voor persoonsgegevens.
Wat gebeurt er als de Algemene Verordening Gegevensbescherming (AVG) toepasbaar wordt en GB formeel nog onderdeel is van de EU?
Wanneer GB formeel nog een lidstaat is van de EU als de AVG toepasbaar wordt, dan wordt de AVG ook toepasbaar in GB. Organisaties en bedrijven uit GB moeten dan voldoen aan de AVG. Een Verordening is namelijk direct toepasselijk en heeft geen implementatie nodig in de nationale wetgeving (zoals het geval was bij richtlijn 95/46/EG).
Wat wordt de positie van GB wanneer zij officieel geen lid meer zijn van de EU?
GB wordt dan formeel gezien als een derde land. Het is nog niet duidelijk of ze onderdeel worden van de EER (Europese Economische Ruimte) of niet.
Zal er een gelijkwaardige privacy- en gegevensbescherming in GB zijn wanneer GB niet of gedeeltelijk de Algemene Verordening Gegevensbescherming gaat opnemen (in de wet)?
Wanneer GB besluit om niet of alleen gedeeltelijk de AVG op te nemen is het aan de Europese Commissie om te bepalen of de privacy en gegevensbescherming in GB voldoende bescherming biedt voor persoonsgegevensoverdracht naar GB. Wanneer dit niet het geval is dan moeten bedrijven en organisaties extra waarborgen nemen wanneer persoonsgegevens van de EU naar GB worden overgedragen.
Wat betekent Brexit voor de bewerkersovereenkomsten met Britse bewerkers (onder de AVG)?
Verantwoordelijken zijn gebonden aan de AVG en moeten ervoor zorgen dat de wet wordt nageleefd. Dit geldt ook voor het contracteren van een bewerker om namens de verantwoordelijke gegevens te bewerken. Als een bewerker in GB wordt gecontracteerd dan moet de verantwoordelijke ervoor zorgen dat aan de vereisten van de AVG wordt voldaan. Veel verplichtingen van de AVG zijn straks toepasbaar voor organisaties die persoonsgegevens van EU-burgers verwerken en ergens anders gevestigd zijn wanneer zij goederen en diensten aanbieden aan EU-burgers of wanneer EU-burgers worden gemonitord. Britse bewerkers moeten voldoen aan de verplichtingen van de AVG wanneer zij persoonsgegevens van EU-burgers verwerken. Wanneer u langetermijncontracten heeft met bewerkers in GB dan is het belangrijk om de contracten te evalueren en waar nodig aan te passen om er zeker van te zijn dat een gelijkwaardige privacy en gegevensbescherming onderdeel is van het contract.
Wat betekent Brexit voor Binding Corporate Rules?
Binding Corporate Rules (BCR) maken het mogelijk voor bedrijven en organisaties om intra-organisatorische grensoverschrijdende overdracht van persoonsgegevens met adequate gegevensbeschermingswaarborgen te laten plaatsvinden. BCR’s worden voornamelijk buiten de EU gebruikt om een gelijkwaardig niveau van gegevensbescherming te verzekeren. Overdracht van persoonsgegevens door middel van BCR’s blijven geldig wanneer GB de EU verlaat.
Wilt u meer weten over de mogelijke consequenties van een Brexit voor de privacy en gegevensbescherming van uw organisatie? Neem u dan vrijblijvend contact met ons op.
Bart Pegge
Senior Public Affairs Consultant
pegge@considerati.com
Dominique Hagenauw
Senior Legal Consultant
hagenauw@considerati.com
Considerati is uw partner in de digitale wereld. Het juridische team van Considerati ondersteunt technologie- en datagedreven bedrijven en overheden in het op verantwoordelijke wijze verwerken van data en voldoen aan wet- en regelgeving.
Considerati is de leidende expert op het gebied van ICT, recht en beleid en levert specialistisch juridisch, beleids- en communicatie advies aan cliënten die optimaal willen presteren in de digitale omgeving. Considerati helpt cliënten met het managen van vraagstukken op het gebied van privacy, cybercrime, auteursrechten, e-commerce, ISP-aansprakelijkheid en de introductie van nieuwe technologieën of innovaties.