De doorgifte van persoonsgegevens post-Brexit
Op 1 februari 2020 heeft het Verenigd Koninkrijk de Europese Unie verlaten. Tot en met 31 december 2020 geldt een overgangsperiode waarin het Verenigd Koninkrijk zich moet houden aan alle EU-regels en wetten. Hieronder valt ook de Algemene Verordening Gegevensbescherming (“AVG”). Het is nog onduidelijk of, en zo ja welke, afspraken tussen de Europese Unie en het Verenigd Koninkrijk zullen gelden omtrent de overdracht van persoonsgegevens per 1 januari 2021. In ieder geval kwalificeert het Verenigd Koninkrijk sinds het terugtrekken uit de Europese Unie als een ‘derde land’ onder de AVG. Indien uw onderneming persoonsgegevens verwerkt of laat verwerken in een derde land, moet u (hoogstwaarschijnlijk) passende maatregelen nemen op grond van de AVG. Weten wat u nu kunt doen? Lees hierover meer in deze blog.
Adequaat beschermingsniveau voor verwerking persoonsgegevens
Indien het Verenigd Koninkrijk kwalificeert als een derde land, moet voor de doorgifte van persoonsgegevens passende maatregelen genomen worden om een adequaat beschermingsniveau te kunnen garanderen voor de verwerking van die persoonsgegevens. Een adequaat beschermingsniveau is een beschermingsniveau dat gelijk is aan het niveau dat wordt geboden onder de AVG.
Adequaatheidsbesluit
De Europese Commissie kan een adequaatheidsbesluit nemen, waarmee zij verklaart dat een derde land een beschermingsniveau biedt dat gelijk is aan het beschermingsniveau onder de AVG. In dat geval hoeven bedrijven geen passende maatregelen te nemen voor de doorgifte van persoonsgegevens. In 2019 werd bijvoorbeeld voor Japan een adequaatheidsbesluit genomen. Een actueel overzicht van de landen waarvoor een adequaatheidsbesluit is genomen, treft u hier op de website van de Europese Commissie.
Voor het Verenigd Koninkrijk lijkt het er echter nog niet op dat dit besluit voor 31 december aanstaande genomen wordt. Met die reden adviseren wij in ieder geval in kaart te brengen of persoonsgegevens doorgegeven worden naar het Verenigd Koninkrijk, en in voorkomend geval, passende maatregelen te nemen voor die doorgifte.
Passende maatregelen
Op welke manieren u passende maatregelen kunt nemen, wordt benoemd in de AVG (art. 44 e.v. AVG). De standaard bepalingen inzake gegevensbescherming, ook wel de Standard Contractual Clauses (“SCCs”), worden veel gebruikt door bedrijven. Andere voorbeelden zijn binding corporate rules, een gedragscode of een certificeringsmechanisme. Daarnaast zijn er nog specifieke situaties waarin een doorgifte is toegestaan, bijvoorbeeld uitdrukkelijke toestemming van de betrokkene en wanneer het noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene (art. 49 AVG).
Aanpassen informatie privacyverklaring
Naast het nemen van passende maatregelen, dienen betrokkenen, van wie persoonsgegevens in een derde land worden verwerkt, daarover te worden geïnformeerd (o.a. artikel 13 lid 1 sub e AVG). Dat betekent dat de privacyverklaring informatie moet bevatten over de verwerking van persoonsgegevens voor dit specifieke doeleinde in het Verenigd Koninkrijk en dat daarvoor passende maatregelen zijn genomen. Tevens moet worden benoemd welke waarborgen zijn genomen en hoe/waar een kopie kan worden verkregen daarvan.
Als laatste dient ook nagegaan te worden of andere (interne) documenten aangepast moeten worden. Denk bijvoorbeeld aan het privacy beleid en/of protocollen en ook zeker aan het verwerkingsregister. Ingevolge artikel 30 lid 1 sub e AVG dient het in het verwerkingsregister vastgelegd te worden indien persoonsgegevens in een derde land worden verwerkt. Het benoemen dat deze verwerkingsactiviteit in het Verenigd Koninkrijk plaatsvindt is daarmee voldoende.
Vragen over te nemen maatregelen
Heeft u vragen of wilt u meer informatie over de maatregelen die u kunt nemen? Neem contact op met onze privacyspecialist.