Short Reads

Uitwisseling van persoonsgegevens met het Verenigd Koninkrijk

Uitwisseling van persoonsgegevens met het Verenigd Koninkrijk

Uitwisseling van persoonsgegevens met het Verenigd Koninkrijk

05.01.2021 EU law

Uit de Brexit deal volgt dat gedurende de eerste 4 maanden van 2021 de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk (“VK”) nog op dezelfde manier mag plaatsvinden als voorheen. Maar alleen als het VK in deze periode de regels voor de bescherming van persoonsgegevens niet verandert. Deze periode van 4 maanden kan worden verlengd tot 6 maanden.

Gehoopt wordt dat de Europese Commissie (“EC”) in de tussentijd alsnog een zogenoemd “adequaatheidsbesluit” zal nemen. Dat houdt in dat de EC vaststelt dat het beschermingsniveau van het VK passend is en blijft vrij verkeer van persoonsgegevens naar het VK mogelijk zonder aanvullende maatregelen.

Gebeurt dat (nog) niet binnen die periode? Dan is doorgifte van persoonsgegevens naar het VK vanaf 1 mei (of in geval van verlenging 1 juli) 2021 verboden, tenzij er passende maatregelen worden getroffen om een veilige gegevensuitwisseling te waarborgen. Zo kan gebruik worden gemaakt van de modelcontractbepalingen van de EC. Voor intra-groep uitwisseling van persoonsgegevens blijven ook bindende bedrijfsvoorschriften bruikbaar die door de toezichthouder zijn goedgekeurd. Incidentele doorgifte is soms mogelijk, bijvoorbeeld met toestemming van de betrokkene of wanneer dit noodzakelijk is voor een juridische procedure in het buitenland.

In de Schrems II uitspraak van het Europese Hof van Justitie van 16 juli jl. is benadrukt dat bij doorgifte daadwerkelijk sprake dient te zijn van een gelijkwaardige (“essentially equivalent”) bescherming van persoonsgegevens. In een verklaring en informatienotitie omtrent de Brexit wijst de European Data Protection Board (“EDPB”) expliciet op de noodzaak van het nemen van passende maatregelen en eventuele aanvullende maatregelen als er geen adequaatheidsbesluit wordt afgegeven.

Wat te doen?

De overgangstermijn laat gegevensuitwisseling vooralsnog onveranderd toe, als ware het VK nog een EU-lidstaat. Dit biedt de gelegenheid voor te sorteren op de periode daarna, voor zover dat nog niet is gebeurd.

Allereerst is aanbevolen na te gaan of er uitwisseling van gegevens plaatsvindt met het VK en wat de aard en omvang daarvan is. Vraag ook uw verwerkers uit naar verwerking in de keten en spreek met hen af dat zij u onverwijld op de hoogte zullen stellen van eventuele wijzigingen in de regels voor de bescherming van persoonsgegevens in het VK. Ga na welk mechanisme voor doorgifte voor uw situatie het meest geschikt is en ga na of aanvullende maatregelen nodig zijn. Zorg ervoor dat het gekozen mechanisme voor doorgifte tijdig klaar ligt, voor het geval er geen adequaatheidsbesluit wordt afgegeven. Zelfs als uw organisatie de Brexit al heeft voorbereid, is het raadzaam om na te gaan of de destijds gekozen oplossingen in het licht van de Schrems II uitspraak nog steeds juist zijn of dat er aanvullende maatregelen nodig zijn. Denk ook aan het aanpassen van uw verwerkingsregister en privacybeleid om aan te geven dat er doorgifte naar het VK plaatsvindt.

Tot slot: de Autoriteit Persoonsgegevens raadt aan om haar website regelmatig te raadplegen voor updates.

Vanzelfsprekend zijn we graag bereid u te helpen bij vragen.

Team

Related news

04.05.2021 NL law
Participatie en privacyregels: hoe te combineren onder de Omgevingswet?

Short Reads - In het stelsel van de Omgevingswet (Ow) is een belangrijke rol bedacht voor participatie bij de totstandkoming van besluiten. Het beoogde resultaat: tijdig belangen, meningen en creativiteit op tafel krijgen en daarmee een groter draagvlak en kwalitatief betere besluitvorming bereiken. Door een grotere betrokkenheid van meer personen gaan overheden en initiatiefnemers ook meer persoonsgegevens verwerken. Dit brengt privacyrisico’s met zich mee. Wat regelt de Ow op het gebied van privacy, de verwerking van persoonsgegevens en datagebruik?

Read more

04.03.2021 BE law
Webinar: Responding to Personal Data Breaches in the Post-GDPR era

Seminar - On 24-26 March 2021 ERA (Adademy of European Law) organises an online Conference "Responding to Personal Data Breaches in the Post-GDPR era". Erik Valgaeren, our Brussels TMT partner, addresses the topic "Managing personal data breach in a complex international scenario", including cross border cases in the EU and breaches at non-EU establishments.

Read more

12.02.2021 EU law
After the Uber case and the Airbnb case … the Star Taxi App case: focus on the question of the qualification as “Information Society Service”

Articles - Societal and digital developments are reflected in the case law of the CJEU. For several years now, European judges resolve disputes relating to digital applications and the services they provide. On 3 December 2020, they handed down a judgment in a case concerning Star Taxi App. This blog analyses the Star Taxi App case law in the light of the Uber case law and the Airbnb case law. The three judgments have in common the question of the qualification of services as Information Society Services.  

Read more