Export van persoonsgegevens na de Brexit: de klok tikt…
16/10/2019

De Brexit nadert dag na dag en alles wijst erop dat het Verenigd Koninkrijk op 1 november 2019 definitief en zonder akkoord de Europese Unie zal verlaten.  Persoonsgegevens uitwisselen met het Verenigd Koninkrijk wordt dan plots heel wat moeilijker, zoals we vorig jaar rond deze tijd een eerste keer meldden in een artikel.  Vanaf 1 november zal het VK immers als een “derde land” worden beschouwd voor gegevensoverdracht onder GDPR en export van persoonsgegevens naar derde landen is aan strenge voorwaarden onderworpen.


Data export buiten de EU
Persoonsgegevens exporteren buiten de EU is onder GDPR aan zeer strenge voorwaarden onderworpen.  In principe kan data export enkel als deze noodzakelijk is én als de verwerkingsverantwoordelijke de nodige garanties heeft dat de betreffende persoonsgegevens op de plaats van ontvangst even veilig bewaard en verwerkt kunnen en zullen worden dan wanneer zij de EU nooit verlaten hadden.

“Data export” is overigens elke situatie waarin persoonsgegevens (zelfs potentieel) toegankelijk gemaakt worden voor een partij buiten de EU: hosting van data op servers buiten de EU, gebruik van een call center buiten de EU, uitwisseling van klantengegevens met een dochtervennootschap buiten de EU, toegang geven tot uw softwaresystemen aan een IT-support afdeling of software developers buiten de EU, als touroperator persoonsgegevens van reizigers doorgeven aan hotels of airlines buiten de EU, …  

Voorwaarden voor export van persoonsgegevens
In beginsel is zulke data export enkel mogelijk in één van de volgende gevallen:

De ontvanger bevindt zich in een “veilig land”, op basis van een -zéér korte- limitatieve lijst van de EU (Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Zwitserland)

  • De ontvanger bevindt zich in de Verenigde Staten EN hij valt enerzijds onder de strenge voorwaarden van het EU-VS privacy shield of het gaat anderzijds om Passenger Name Records doorgegeven aan de United States Bureau of Customs and Border Protection)
  • Met de ontvanger werd een Data Export Agreement afgesloten, waarin de door de EU opgestelde standaard clausules inzake databescherming zijn opgenomen.  Die standaard clausules zijn een lange lijst verbintenissen die de ontvanger van persoonsgegevens buiten de EU moet aangaan en die ervoor moeten zorgen dat Europese persoonsgegevens buiten de EU adequaat beschermd worden.  Let op: de Europese verantwoordelijke voor verwerking van persoonsgegevens die persoonsgegevens doorgeeft buiten de EU op basis van zo’n Data Export Agreement wetende dat de ontvanger in werkelijkheid niet kan voldoen aan zijn beloften op papier, begaat zélf een inbreuk op de GDPR, die tot érg hoge boetes kan leiden.  Een DEA is dus géén formaliteit…
  • Binnen een groep van vennootschappen werden zogenaamde Binding Corporate Rules opgesteld en die werden vervolgens goedgekeurd door de bevoegde Gegevensbeschermingsautoriteit.  Die BCR zijn eigenlijk een “intern reglement” voor verwerking van persoonsgegevens binnen eenzelfde groep van bedrijven.
  • Er zijn nog enkele meer exotische opties om alsnog data te exporteren, maar deze komen minder evident in aanmerking (gedragscodes, certificeringsmechanismes, toegestane afwijkingen, …).

Wat nu bij een plotse Brexit?
De European Data Protection Board EDPB had al begin dit jaar een aantal richtlijnen gepubliceerd over omgaan met persoonsgegevens na een no deal Brexit.  Diezelfde richtlijnen werden overigens ook overgenomen door de Belgische Gegevensbeschermingsautoriteit.

Eerder deze maand publiceerde de Franse GBA (de “CNIL”) op basis van diezelfde richtlijnen een update.  De Brexit komt nu immers wel érg dichtbij en alles wijst erop dat een en ander zonder akkoord zal gebeuren.

De belangrijkste vaststelling is dat het VK vanaf 1 november buiten de EU zal vallen en dus een derde land wordt, maar dat het tegelijk NIET op de lijst met veilige landen staat waarmee data zonder meer uitgewisseld mag worden.  Het VK zal wellicht wel een aanvraag kunnen doen op toch op die lijst te belanden, maar de goedkeuring daarvan zal maanden op zich laten wachten.  

In afwachting kan uitwisseling van persoonsgegevens met het VK in se enkel op basis van Binding Corporate Rules of op basis van de standaard contractclausules van de EU.

Hoe ga je concreet te werk?
De eerder genoemde richtlijnen en de recente update van de CNIL bevelen bedrijven aan om vijf stappen na te leven om ervoor te zorgen dat ze ook na een Brexit GDPR compliant blijven werken:

  • Identificeer in je bedrijf alle situaties van data export naar het VK.
  • Bekijk hoe je best kan zorgen dat die conform de wet gebeurt (Binding Corporate Rules?  Standard Contractual Clauses?).
  • Implementeer de juiste optie vóór 1 november 2019.
  • Pas alle interne policies én lopende contracten aan in het kader van data export naar het VK
  • Pas je privacy policies aan om betrokkenen correct te informeren over het feit dat hun data de EU verlaten (naar het VK) en op welke gronden je gezorgd hebt dat dit veilig verloopt.

Voir aussi : Sirius Legal ( Mr. Bart Van den Brande )

Mr. Bart Van den Brande Mr. Bart Van den Brande
Partner
bart@siriuslegal.be

Click here to see the ad(s)
Tous les articles Droit Européen

Derniers articles Droit Européen

L’Europe renforce la protection des lanceurs d’alerte
11/12/2019

La Directive n°2019/1937 sur la protection des personnes qui signalent des violations du droit de l’Union (ou &l...

L’Europe renforce la protection des lanceurs d’alerte Read more

Restrictions of cross-border sales under EU competition rules
09/12/2019

Companies are in principle free to establish in Europe the distribution system that best serves their interests, including...

Restrictions of cross-border sales under EU competition rules Read more

Buying alliances in Europe are under threat
09/12/2019

On Monday 18 November 2019 the Dutch Authority for Consumers and Markets ("ACM") announced that the regulator ha...

Read more

La liberté d’expression des travailleurs est protégée, mais pas absolue
06/12/2019

Dans un arrêt récent, la Cour Européenne des Droits de l’Homme examine le licenciement d’u...

La liberté d’expression des travailleurs est protégée, mais pas absolue Read more

Derniers articles de Mr. Bart Van den Brande

Webshops hebben geen toestemming nodig om contact- en verzendgegevens te verwerken onder GDPR
12/12/2019

Als webshop heb je persoonsgegevens van je klanten nodig.  Wie schoenen online verkoopt heeft een verzendadres nodig....

Read more

To be or not to be … forgotten, the European Court of Justice clarifies (or not?)
27/11/2019

The most intriguing right that the General Data Protection Regulation (AVG or GDPR) introduced is without a doubt the &ldq...

Read more

Het einde voor Thomas Cook: Wie betaalt schadevergoeding voor geannuleerde vluchten?
08/10/2019

Een recent arrest van het Europees Hof van Justitie van afgelopen zomer krijgt plots érg veel relevantie door het j...

Read more

Boetes als je wél toestemming vraagt aan je personeel? Gekker hoeft het niet met die GDPR.
20/09/2019

Wie personeel in dienst heeft, moet personeelsdossiers bijhouden.  Contactgegevens van personeelsleden, sociale zeker...

Read more

LexGO Network