Export van persoonsgegevens na de Brexit: de klok tikt…
16/10/2019

De Brexit nadert dag na dag en alles wijst erop dat het Verenigd Koninkrijk op 1 november 2019 definitief en zonder akkoord de Europese Unie zal verlaten.  Persoonsgegevens uitwisselen met het Verenigd Koninkrijk wordt dan plots heel wat moeilijker, zoals we vorig jaar rond deze tijd een eerste keer meldden in een artikel.  Vanaf 1 november zal het VK immers als een “derde land” worden beschouwd voor gegevensoverdracht onder GDPR en export van persoonsgegevens naar derde landen is aan strenge voorwaarden onderworpen.


Data export buiten de EU
Persoonsgegevens exporteren buiten de EU is onder GDPR aan zeer strenge voorwaarden onderworpen.  In principe kan data export enkel als deze noodzakelijk is én als de verwerkingsverantwoordelijke de nodige garanties heeft dat de betreffende persoonsgegevens op de plaats van ontvangst even veilig bewaard en verwerkt kunnen en zullen worden dan wanneer zij de EU nooit verlaten hadden.

“Data export” is overigens elke situatie waarin persoonsgegevens (zelfs potentieel) toegankelijk gemaakt worden voor een partij buiten de EU: hosting van data op servers buiten de EU, gebruik van een call center buiten de EU, uitwisseling van klantengegevens met een dochtervennootschap buiten de EU, toegang geven tot uw softwaresystemen aan een IT-support afdeling of software developers buiten de EU, als touroperator persoonsgegevens van reizigers doorgeven aan hotels of airlines buiten de EU, …  

Voorwaarden voor export van persoonsgegevens
In beginsel is zulke data export enkel mogelijk in één van de volgende gevallen:

De ontvanger bevindt zich in een “veilig land”, op basis van een -zéér korte- limitatieve lijst van de EU (Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Zwitserland)

  • De ontvanger bevindt zich in de Verenigde Staten EN hij valt enerzijds onder de strenge voorwaarden van het EU-VS privacy shield of het gaat anderzijds om Passenger Name Records doorgegeven aan de United States Bureau of Customs and Border Protection)
  • Met de ontvanger werd een Data Export Agreement afgesloten, waarin de door de EU opgestelde standaard clausules inzake databescherming zijn opgenomen.  Die standaard clausules zijn een lange lijst verbintenissen die de ontvanger van persoonsgegevens buiten de EU moet aangaan en die ervoor moeten zorgen dat Europese persoonsgegevens buiten de EU adequaat beschermd worden.  Let op: de Europese verantwoordelijke voor verwerking van persoonsgegevens die persoonsgegevens doorgeeft buiten de EU op basis van zo’n Data Export Agreement wetende dat de ontvanger in werkelijkheid niet kan voldoen aan zijn beloften op papier, begaat zélf een inbreuk op de GDPR, die tot érg hoge boetes kan leiden.  Een DEA is dus géén formaliteit…
  • Binnen een groep van vennootschappen werden zogenaamde Binding Corporate Rules opgesteld en die werden vervolgens goedgekeurd door de bevoegde Gegevensbeschermingsautoriteit.  Die BCR zijn eigenlijk een “intern reglement” voor verwerking van persoonsgegevens binnen eenzelfde groep van bedrijven.
  • Er zijn nog enkele meer exotische opties om alsnog data te exporteren, maar deze komen minder evident in aanmerking (gedragscodes, certificeringsmechanismes, toegestane afwijkingen, …).

Wat nu bij een plotse Brexit?
De European Data Protection Board EDPB had al begin dit jaar een aantal richtlijnen gepubliceerd over omgaan met persoonsgegevens na een no deal Brexit.  Diezelfde richtlijnen werden overigens ook overgenomen door de Belgische Gegevensbeschermingsautoriteit.

Eerder deze maand publiceerde de Franse GBA (de “CNIL”) op basis van diezelfde richtlijnen een update.  De Brexit komt nu immers wel érg dichtbij en alles wijst erop dat een en ander zonder akkoord zal gebeuren.

De belangrijkste vaststelling is dat het VK vanaf 1 november buiten de EU zal vallen en dus een derde land wordt, maar dat het tegelijk NIET op de lijst met veilige landen staat waarmee data zonder meer uitgewisseld mag worden.  Het VK zal wellicht wel een aanvraag kunnen doen op toch op die lijst te belanden, maar de goedkeuring daarvan zal maanden op zich laten wachten.  

In afwachting kan uitwisseling van persoonsgegevens met het VK in se enkel op basis van Binding Corporate Rules of op basis van de standaard contractclausules van de EU.

Hoe ga je concreet te werk?
De eerder genoemde richtlijnen en de recente update van de CNIL bevelen bedrijven aan om vijf stappen na te leven om ervoor te zorgen dat ze ook na een Brexit GDPR compliant blijven werken:

  • Identificeer in je bedrijf alle situaties van data export naar het VK.
  • Bekijk hoe je best kan zorgen dat die conform de wet gebeurt (Binding Corporate Rules?  Standard Contractual Clauses?).
  • Implementeer de juiste optie vóór 1 november 2019.
  • Pas alle interne policies én lopende contracten aan in het kader van data export naar het VK
  • Pas je privacy policies aan om betrokkenen correct te informeren over het feit dat hun data de EU verlaten (naar het VK) en op welke gronden je gezorgd hebt dat dit veilig verloopt.

Zie ook : Sirius Legal ( Mr. Bart Van den Brande )


Click here to see the ad(s)
Alle artikels Europees recht

Laatste artikels Europees recht

(Shop Based) Commercial Agent Protected even in the Absence of the Power to Negotiate the Price
29/07/2020

In Trendsetteuse (C-828/18), the Court of Justice of the EU held that in order to be protected under the Commerc...

Read more

La Belgique transpose la 5ème Directive anti-blanchiment… et assujettit le secteur du football...
17/07/2020

Ce jeudi 16 juillet 2020, la Chambre des représentants a entériné le projet de loi « porta...

Read more

Le Tribunal de l’UE annule l’amende de 13 milliards infligée à Apple
15/07/2020

Le Tribunal de l’Union européenne annule la décision de la Commission sur des rulings fiscaux irlandai...

Read more

Breaking news from the CJEU: no SPCs for new therapeutic applications
15/07/2020

On 9 July 2020, the Grand Chamber of the CJEU ruled on the interpretation of Article 3(d) of Regulation 469/2009 concernin...

Breaking news from the CJEU: no SPCs for new therapeutic applications Read more

Laatste artikels van Mr. Bart Van den Brande

Persoonsgegevens doorgeven naar de VS na het Schrems-II arrest?
02/08/2020

Het is de Oostenrijker Max Schrems alweer gelukt om zijn slag thuis te halen in één van de vele privacyrecht...

Read more

Eerste GDPR boete voor Belgisch bedrijf in beroep vernietigd
24/04/2020

De Belgische Gegevensbeschermingsautoriteit legde de voorbije twee jaar erg weinig boetes op in vergelijking met haar coll...

Read more

De GBA publiceert richtlijnen voor GDPR compliance in Direct Marketing
28/02/2020

De Belgische Gegevensbeschermingsautoriteit lanceerde afgelopen week met wat vertraging een 80 pagina’s lange &ldquo...

Read more

Firefox gaat na cookies ook fingerprints blokkeren
10/01/2020

Digital marketing en privacywetgeving zijn in een zeer moeilijke dans verwikkeld.  Dat hebben we de voorbije maanden ...

Read more

LexGO Network