De AVG is in mei 2018 in werking getreden voor alle Europese lidstaten. Als alles volgens plan verloopt, treedt Groot-Brittannië in het voorjaar van 2019 uit de Europese Unie. Dit heeft gevolgen voor de positie van Groot-Brittannië in het kader van de privacywetgeving, tenzij er heel snel oplossingen worden gevonden.
In maart 2019 treedt Groot-Brittannië uit de EU. Op dat moment wordt Groot-Brittannië een “derde land”. Ieder land buiten het grondgebied van de EU, wordt aangeduid als een derde land. In beginsel is het verboden om persoonsgegevens op te slaan in of uit te wisselen met een partij in Groot-Brittannië. Dit is slechts anders indien aanvullende maatregelen worden getroffen of indien het land volgens de EU een passend beschermingsniveau heeft. In dat geval wordt een adequaatheidsbesluit toegekend. We hebben de laatste tijd echter gezien dat het ongeveer 1 ½ jaar duurt voordat een adequaatheidsbesluit daadwerkelijk wordt genomen, omdat voorafgaand daaraan vaak nog nationale wetgeving moet worden aangepast.
De kans is dus groot dat er in maart 2019 geen adequaatheidsbesluit ligt. In dat geval is het verwerken van persoonsgegevens in de UK niet toegestaan voor zover het gaan om verwerking van persoonsgegevens van EU burgers. Maakt u of uw verwerker gebruik van servers in Groot-Brittannië? Dan moet u op zoek naar een locatie in een ander land.
Een andere mogelijkheid is dat u een EU modelcontract sluit met de partij in Groot-Brittannië. Deze ‘standard contractual clauses’ verplichten de partij in Groot-Brittannië ertoe om hetzelfde beschermingsniveau als dat van de AVG toe te passen. Maar u dient er dan wel op toe te zien dat dat ook daadwerkelijk in praktijk wordt gebracht. Indien de partij in Groot-Brittannië niet wil meewerken aan het sluiten van een modelcontract, heeft u geen andere keus dan op zoek te gaan naar een andere partner.
In concernverband biedt de AVG u nog een extra mogelijkheid: het overeenkomen van Binding Corporate Rules. Deze BCR’s gelden voor het hele concern en schrijven voor hoe wordt omgegaan met persoonsgegevens. Deze BCR’s dienen dan wel te worden goedgekeurd door de toezichthouder in het land van de hoofdvestiging van het concern. Ook dit duurt vaak 1 tot 2 jaar, afhankelijk van de toezichthouder, en biedt dus waarschijnlijk ook geen directe oplossing op het moment van de Brexit.
Heeft u vragen over het effect van de Brexit op de AVG? Wilt u meer weten over standard contractual clauses, doorgifte van persoonsgegevens naar derde landen of binding corporate rules? Neem dan contact op Team Privacy.
