Export van persoonsgegevens na de Brexit: de klok tikt…
16/10/2019

De Brexit nadert dag na dag en alles wijst erop dat het Verenigd Koninkrijk op 1 november 2019 definitief en zonder akkoord de Europese Unie zal verlaten.  Persoonsgegevens uitwisselen met het Verenigd Koninkrijk wordt dan plots heel wat moeilijker, zoals we vorig jaar rond deze tijd een eerste keer meldden in een artikel.  Vanaf 1 november zal het VK immers als een “derde land” worden beschouwd voor gegevensoverdracht onder GDPR en export van persoonsgegevens naar derde landen is aan strenge voorwaarden onderworpen.


Data export buiten de EU
Persoonsgegevens exporteren buiten de EU is onder GDPR aan zeer strenge voorwaarden onderworpen.  In principe kan data export enkel als deze noodzakelijk is én als de verwerkingsverantwoordelijke de nodige garanties heeft dat de betreffende persoonsgegevens op de plaats van ontvangst even veilig bewaard en verwerkt kunnen en zullen worden dan wanneer zij de EU nooit verlaten hadden.

“Data export” is overigens elke situatie waarin persoonsgegevens (zelfs potentieel) toegankelijk gemaakt worden voor een partij buiten de EU: hosting van data op servers buiten de EU, gebruik van een call center buiten de EU, uitwisseling van klantengegevens met een dochtervennootschap buiten de EU, toegang geven tot uw softwaresystemen aan een IT-support afdeling of software developers buiten de EU, als touroperator persoonsgegevens van reizigers doorgeven aan hotels of airlines buiten de EU, …  

Voorwaarden voor export van persoonsgegevens
In beginsel is zulke data export enkel mogelijk in één van de volgende gevallen:

De ontvanger bevindt zich in een “veilig land”, op basis van een -zéér korte- limitatieve lijst van de EU (Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Zwitserland)

  • De ontvanger bevindt zich in de Verenigde Staten EN hij valt enerzijds onder de strenge voorwaarden van het EU-VS privacy shield of het gaat anderzijds om Passenger Name Records doorgegeven aan de United States Bureau of Customs and Border Protection)
  • Met de ontvanger werd een Data Export Agreement afgesloten, waarin de door de EU opgestelde standaard clausules inzake databescherming zijn opgenomen.  Die standaard clausules zijn een lange lijst verbintenissen die de ontvanger van persoonsgegevens buiten de EU moet aangaan en die ervoor moeten zorgen dat Europese persoonsgegevens buiten de EU adequaat beschermd worden.  Let op: de Europese verantwoordelijke voor verwerking van persoonsgegevens die persoonsgegevens doorgeeft buiten de EU op basis van zo’n Data Export Agreement wetende dat de ontvanger in werkelijkheid niet kan voldoen aan zijn beloften op papier, begaat zélf een inbreuk op de GDPR, die tot érg hoge boetes kan leiden.  Een DEA is dus géén formaliteit…
  • Binnen een groep van vennootschappen werden zogenaamde Binding Corporate Rules opgesteld en die werden vervolgens goedgekeurd door de bevoegde Gegevensbeschermingsautoriteit.  Die BCR zijn eigenlijk een “intern reglement” voor verwerking van persoonsgegevens binnen eenzelfde groep van bedrijven.
  • Er zijn nog enkele meer exotische opties om alsnog data te exporteren, maar deze komen minder evident in aanmerking (gedragscodes, certificeringsmechanismes, toegestane afwijkingen, …).

Wat nu bij een plotse Brexit?
De European Data Protection Board EDPB had al begin dit jaar een aantal richtlijnen gepubliceerd over omgaan met persoonsgegevens na een no deal Brexit.  Diezelfde richtlijnen werden overigens ook overgenomen door de Belgische Gegevensbeschermingsautoriteit.

Eerder deze maand publiceerde de Franse GBA (de “CNIL”) op basis van diezelfde richtlijnen een update.  De Brexit komt nu immers wel érg dichtbij en alles wijst erop dat een en ander zonder akkoord zal gebeuren.

De belangrijkste vaststelling is dat het VK vanaf 1 november buiten de EU zal vallen en dus een derde land wordt, maar dat het tegelijk NIET op de lijst met veilige landen staat waarmee data zonder meer uitgewisseld mag worden.  Het VK zal wellicht wel een aanvraag kunnen doen op toch op die lijst te belanden, maar de goedkeuring daarvan zal maanden op zich laten wachten.  

In afwachting kan uitwisseling van persoonsgegevens met het VK in se enkel op basis van Binding Corporate Rules of op basis van de standaard contractclausules van de EU.

Hoe ga je concreet te werk?
De eerder genoemde richtlijnen en de recente update van de CNIL bevelen bedrijven aan om vijf stappen na te leven om ervoor te zorgen dat ze ook na een Brexit GDPR compliant blijven werken:

  • Identificeer in je bedrijf alle situaties van data export naar het VK.
  • Bekijk hoe je best kan zorgen dat die conform de wet gebeurt (Binding Corporate Rules?  Standard Contractual Clauses?).
  • Implementeer de juiste optie vóór 1 november 2019.
  • Pas alle interne policies én lopende contracten aan in het kader van data export naar het VK
  • Pas je privacy policies aan om betrokkenen correct te informeren over het feit dat hun data de EU verlaten (naar het VK) en op welke gronden je gezorgd hebt dat dit veilig verloopt.

Related : Sirius Legal ( Mr. Bart Van den Brande )

Mr. Bart Van den Brande Mr. Bart Van den Brande
Partner
bart@siriuslegal.be

Click here to see the ad(s)
All articles European Law

Lastest articles European Law

European Commission gives green light for German rescue aid to Condor
06/11/2019

On 14 October 2019, the European Commission (“Commission”) approved the German rescue aid to charter...

European Commission gives green light for German rescue aid to Condor Read more

Les consommateurs “online” protégés par le Parlement européen
17/10/2019

En date du 17 avril 2019, le Parlement européen s’est prononcé en faveur d’une meilleure applica...

Les consommateurs “online” protégés par le Parlement européen Read more

De Europese Unie stelt minimale, transparante en voorspelbare arbeidsvoorwaarden vast voor alle w...
17/10/2019

De Richtlijn 2019/1152 van 20 juni 2019 vervangt de Richtlijn 91/533/EEG betreffende de verplichting van de werkgever om d...

De Europese Unie stelt minimale, transparante en voorspelbare arbeidsvoorwaarden vast voor alle werknemers Read more

De nieuwe Commissie krijgt vorm - plannen van Ursula von der Leyen voor een sociaal Europa
01/10/2019

Ursula von der Leyen, die Jean-Claude Juncker in november zal opvolgen als voorzitter van de Europese Commissie, heeft haa...

De nieuwe Commissie krijgt vorm - plannen van Ursula von der Leyen voor een sociaal Europa Read more

Lastest articles by Mr. Bart Van den Brande

Het einde voor Thomas Cook: Wie betaalt schadevergoeding voor geannuleerde vluchten?
08/10/2019

Een recent arrest van het Europees Hof van Justitie van afgelopen zomer krijgt plots érg veel relevantie door het j...

Read more

Boetes als je wél toestemming vraagt aan je personeel? Gekker hoeft het niet met die GDPR.
20/09/2019

Wie personeel in dienst heeft, moet personeelsdossiers bijhouden.  Contactgegevens van personeelsleden, sociale zeker...

Read more

Praktische tips voor online handelaars: retourrecht, last of lust?
17/07/2019

Retourrecht is een fundamenteel recht van de consument. Maar wat als hier misbruik van wordt gemaakt? Wat kan je doen als ...

Read more

Investeerder in aantocht? Met het nieuwe vennootschapsrecht hou je de touwtjes in handen
13/06/2019

Het was in het verleden gangbaar om bij de intrede van nieuwe vennoten, of dat nu een investeerder was of een nieuwe actie...

Read more

LexGO Network