Sedert het interview van de kersvers verkozen eerste minister van het Verenigd Koninkrijk en de laatste nieuwsberichten lijkt een harde Brexit of no-deal opnieuw een realiteit. Als onderneming is het belangrijk om hierop voorbereid te zijn. De GDPR heeft dan ook een complex territoriaal toepassingsgebied.
Territoriaal toepassingsgebied van de GDPR?
Het toepassingsgebied van de GDPR zoals omschreven in art. 3 van de Verordening is ruim omschreven en kent een toepassing op ondernemingen, instellingen en overheden (verwerkingsverantwoordelijken en/of verwerkers) die zowel in de EU als buiten de EU gevestigd zijn.
Vooreerst is de GDPR van toepassing op verwerkingsverantwoordelijken en/of verwerkers die gevestigd zijn in de EU en persoonsgegevens van natuurlijke personen (betrokkenen) die zich binnen de EU bevinden verwerken, ongeacht deze verwerking van persoonsgegevens binnen de EU plaatsvindt.
Daarnaast is de GDPR ook van toepassing op een verwerkingsverantwoordelijke en/of verwerker die zich buiten de EU bevindt, maar wel persoonsgegevens van betrokkenen die zich binnen de EU bevinden verwerken, dit op voorwaarde dat de verwerking verband houdt met:
- het aanbieden van al dan niet gratis goederen of diensten aan deze betrokkenen;
- het monitoren van het gedrag van betrokkenen, voor zover dit gedrag in de EU plaatsvindt.
Uit het voorgaande kan worden besloten dat de GDPR van toepassing is wanneer persoonsgegevens worden verwerkt van betrokkenen die zich binnen de EU bevinden.
Zo kan er eenvoudig worden gesteld dat heel wat verwerkingsverantwoordelijken en/verwerkers geconfronteerd zullen worden met een mogelijks verbod om nog persoonsgegevens door te geven aan bedrijven (verwerkingsverantwoordelijken, verwerkers) die na Brexit in het Verenigd Koninkrijk gevestigd zijn.
Wat nu met Brexit of enig ander EU-land die de Europese Unie wenst te verlaten?
De mogelijkheid bestaat aldus dat ingevolge de toepassing van de GDPR er een verbod ontstaat om na de Brexit nog persoonsgegevens naar het VK door te geven.
Dit verbod is afhankelijk van de manier waarop de Brexit zal worden doorgevoerd:
- Brexit met akkoord
Het VK blijft zich binnen de Europese Economische Ruimte bevinden, waardoor nog steeds een vrij verkeer van persoonsgegevens (net zoals dat van personen) mogelijk zal zijn. Op dit ogenblik bestaat de EER uit de landen van de Europese Unie samen met Noorwegen, IJsland en Liechtenstein.
- Brexit zonder akkoord/ hard Brexit
In voormeld scenario zal het VK geen onderdeel meer uitmaken van de EU noch van de EER, wat zou resulteren dat het VK aangemerkt zou worden als een “derde land”, dit met diverse problemen tot gevolg.
Het vrij verkeer van personen, goederen, kapitaal en data (persoonsgegevens) zoals we deze vandaag, binnen de EU en EER, kennen zal een einde nemen: de douane zal opnieuw uw koffers controleren, de grenzen worden terug opgetrokken en overeenkomstig de GDPR is het doorgeven van data naar een “derde land” verboden.
Hierop zijn een aantal bepaalde uitzonderingen:
- Adequaatheidsbesluit van EU Commissie
Een derde land of een land die buiten de EU of EER valt, kan, indien zij aantoont dat zij een gelijkwaardige wettelijke bescherming biedt aan persoonsgegevens van betrokkenen die zich in EU bevinden, opgenomen worden in de “witte” lijst van de Europese Commissie met de zogenaamde veilige landen waar naar persoonsgegevens zonder juridische formaliteiten kunnen worden doorgegeven. Dit op voorwaarde dat de verwerkingsverantwoordelijk de bepalingen van de GDPR betreffende de transparantieverplichting in acht neemt.
Zo zal de betrokkene via het privacy beleid moeten geïnformeerd worden dat zijn of haar persoonsgegevens buiten de EU of EER worden doorgegeven.
Let wel, de EU Commissie zal toezien op de regelgeving en maatregelen die het derde land neemt in kader van privacy en databeveiliging. Indien de EU Commissie van oordeel is dat het derde land, opgenomen in de lijst, niet langer voldoet aan de vereisten van de AVG dan kan zij haar adequaatheidsbesluit opnieuw intrekken.
Dit zou als gevolg kunnen hebben dat de doorgifte van persoonsgegevens opnieuw verboden wordt.
- Binding Corporate Rules
Ondernemingen die in een internationale context als groep georganiseerd zijn, hebben de mogelijkheid om zich te beroepen op Binding Corporate Rules of bindende bedrijfsvoorschriften voor een intra-groep doorgifte van persoonsgegevens.
Deze bedrijfsvoorschriften zijn toepassing op alle leden van de groep (moeten juridisch afdwingbaar zijn) en voorzien in de principes van gegevensbescherming zoals omschreven in de GDPR, meer bepaald: het respecteren van de rechten van betrokkenen, aanvaarding van de aansprakelijkheden bij verwerking, het voorzien van een klachtenprocedure, het opstellen van een intern toezicht, voorzien in een passende beveiligingsmaatregelen …
Het hoeft geen verdere uitleg dat het opstellen van BCR’s een lange tijd in beslag kan nemen, waardoor deze eigenlijk niet op korte termijn inzetbaar zijn. Daarenboven dienen BCR’s vooraleer te worden toegepast, en dus vooraleer er persoonsgegevens worden doorgegeven binnen de groep, goedgekeurd te zijn door de Gegevensbeschermingsautoriteit.
- Standard Contract Clauses (SCC)
Een andere mogelijkheid om persoonsgegevens door te geven naar een derde land is beroep doen op de Standard Contract Clauses die goedgekeurd zijn door de EU-Commissie.
Er zijn twee verschillende types van modelcontracten door de EU-Commissie goedgekeurd, meer bepaald de doorgifte van persoonsgegevens tussen:
- Een EU verwerkingsverantwoordelijke en een niet-EU verwerkingsverantwoordelijke;
- Een EU verwerkingsverantwoordelijke en een niet-EU verwerker
Indien ondernemingen deze SCC’s ongewijzigd overnemen in een geschreven contract dan kan de doorgifte van persoonsgegevens naar de verwerkingsverantwoordelijke of verwerker in het derde land zonder enig probleem.
- Ad Hoc Contract Clauses
De SCC’s voorzien slechts in 2 scenario’s waardoor in andere relaties, zoals EU verwerker en niet-EU sub-verwerker, er geen beroep kan worden gedaan op de SCC’s, maar aangepaste SSC’s of Ad Hoc SCC’s moeten worden opgesteld.
Hierbij dient onmiddellijk te worden opgemerkt dat bij de kleinste wijziging aan de inhoud van de goedgekeurde SCC’s een goedkeuring van de Gegevensbeschermingsautoriteit moet worden gevraagd vooraleer er een doorgifte van persoonsgegevens kan worden uitgevoerd.
- Gedragscode
De GDPR voorziet in de mogelijkheid dat er voor een sector of beroepsgroep gedragscodes worden opgesteld, waarbij de verwerkingsverantwoordelijken en/of verwerkers in een bepaalde sector of beroepsgroep zich kunnen aansluiten.
De doorgifte van persoonsgegevens is dan enkel mogelijk tussen de aangeslotenen van dergelijke gedragscode.
Er dient erop gewezen te worden dat een gedragscode niet evident om op te stellen is, na de redactie van dergelijke code moet deze ook gedragen worden door de sector of beroepsgroep en moet deze goedgekeurd worden door de GBA. Op heden heeft de GBA nog geen enkele gedragscode goedgekeurd.
- Uitzonderingsregime
Tot slot worden in art. 49 GDPR enkele wettelijke uitzonderingsgevallen op het verbod van doorgifte, waarbij onderstaande uitzonderingen restrictief dienen geïnterpreteerd te worden, voorzien:
- De betrokkene heeft uitdrukkelijk met de doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden;
- De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en verwerkingsverantwoordelijke;
- De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;
- De doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang;
- De doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- De doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven;
Conclusie
In theorie zal het bijna altijd mogelijk zijn om persoonsgegevens naar het Verenigd Koninkrijk door te geven, maar dit zal niet langer vrij kunnen gebeuren. De modaliteiten van de doorgifte hangen volledig af van hoe het huwelijk tussen het VK en de EU zal eindigen.
Daarom is het aan te bevelen dat ondernemingen nu reeds de nodige analyse van de eigen verwerkingsprocessen doorvoeren en (laten) bepalen op welke wijze een doorgifte van persoonsgegevens naar het VK kan georganiseerd worden.
Bij vragen omtrent de GDPR en internationale doorgifte van persoonsgegevens kan u vrijblijvend contact opnemen met ons via maarten.verhaghe@vdvadvocaten.be.
Maarten Verhaghe
0 reacties