Gegevensdoorgifte post Brexit: doorgifte naar een normconform eiland?

Doorgifte van persoonsgegevens aan het Verenigd Koninkrijk vandaag…

Lidstaten van de Europese Unie worden bij de onderlinge doorgifte van persoonsgegevens geacht een gelijkwaardig beschermingsniveau te bieden inzake.

Vandaag reeds bepaalt de richtlijn 95/49/EG dat er met het oog op de gegevensdoorgifte naar derde landen, behoudens een aantal uitzonderingen, sprake moet zijn van het bieden door dat derde land van een passend beschermingsniveau van de doorgegeven persoonsgegevens.

De Lidstaten en Commissie communiceren onderling omtrent eventuele beschermingstekorten in derde landen. Doorgiftes aan de betreffende derde landen zullen vervolgens verboden worden, behoudens enkele uitzonderingen die voldoende waarborgen garanderen zoals contractbepalingen toegestaan door een toezichthoudende autoriteit, standaardbepalingen inzake gegevensbescherming vastgesteld door de Commissie of een toezichthoudende autoriteit of bindende bedrijfsvoorschriften.

De Commissie heeft reeds een witte lijst opgesteld met de derde landen waarvan zij acht dat zij een voldoende gegevensbescherming bieden.

En morgen…

Naast het feit dat het Verenigd Koninkrijk ingevolge de Brexit uit de Europese Unie zal treden, zal binnen de Europese Unie de heden nog van kracht zijnde Richtlijn 95/46/EG, op 25 mei 2018 vervangen worden door de algemene Verordening gegevensbescherming 2016/679 dd. 27 april 2016.

Vooreerst dient opgemerkt te worden dat de Verordening gegevensbescherming 2016/679 een ruimer toepassingsgebied zal hebben dan de huidige toepasselijke Richtlijn 95/46/EG.

Meer ondernemingen zullen dan ook rekening moeten houden met de regels toepasselijk op een gegevensdoorgifte aan een derde land.

De algemene verordening gegevensbescherming 2016/679 zal namelijk meer en preciezere criteria bepalen inzake het passend beschermingsniveau bij de doorgifte van gegevens naar een derde land.

Aangezien het Verenigd Koninkrijk thans nog deel uitmaakt van de Europese Unie, wordt het nog geacht een passend beschermingsniveau te bieden.

Wanneer het Verenigd Koninkrijk na de uittrede uit de Europese Unie niet meer onderworpen zal zijn aan de Europese regelgeving, zal een wijziging van de huidige regelgeving en praktijken die aan de gegevensbescherming raken, een nieuwe evaluatie van de doorgiftemogelijkheden aan dat land nodig maken.

Zo de Commissie dan niet in een adequaatheidsbesluit bevestigt dat er sprake is van een passend beschermingsniveau, reikt de algemene verordening gegevensbescherming 2016/679 de alternatieve oplossing van de passende waarborgen aan, zoals het gebruik van bindende bedrijfsvoorschriften.

Our advice:

Ondernemingen en instanties die in het kader van hun activiteiten gegevens doorgeven naar het Verenigd Koninkrijk en die de algemene verordening gegevensbescherming 2016/679 zullen moeten eerbiedigen, zullen de verdere evoluties in de regelgeving, dan wel gehanteerde praktijken inzake gegevensdoorgifte en -bescherming aan het Verenigd Koninkrijk verder dienen opvolgen.

Bestaande rechtsverhoudingen met gegevensdoorgifte aan het Verenigd Koninkrijk zullen in de toekomst dan ook mogelijks opnieuw beoordeeld moeten worden.

Een tijdige inwinning van de nodige informatie om zich met de algemene verordening gegevensbescherming 2016/679 in regel te stellen, is gelet op het risico op belangrijke boetes dus eerder een gerechtvaardigde investering dan een overbodige luxe.

De nieuwe algemene verordening gegevensbescherming 2016/679 bepaalt inderdaad aanzienlijke boetes voor enige inbreuk op haar bepalingen. Die kunnen oplopen tot 20.000.000 EUR of 4% van de jaarlijks wereldwijde omzet van de groep in het voorgaande boekjaar.

from Anne Custers

Any queries?

Contact us
id libero elit. quis Lorem suscipit pulvinar efficitur. in Donec dolor