De doorgifte van persoonsgegevens aan landen buiten de Europese Unie (zogeheten ‘derde landen’) is in de regel verboden op grond van de Algemene verordening gegevensbescherming (AVG).

De ‘EU-VK Handels- en Samenwerkingsovereenkomst’ stelt in artikel FINPROV.10A dat gedurende een periode van maximaal zes maanden (dus tot 30 juni 2021) datadoorgiften aan het VK niet zullen worden beschouwd als doorgiften aan een derde land, op voorwaarde dat de huidige wet- en regelgeving in het VK over de bescherming van persoonsgegevens van kracht blijft.

Het gevolg daarvan is dat doorgiften tot 30 juni 2021 zonder aanvullende maatregelen kunnen blijven plaatsvinden. Het is dan niet nodig om gebruik te maken van passende waarborgen zoals bedoeld in artikel 46 AVG of een beroep te doen op de specifieke uitzonderingen opgenomen in artikel 49 AVG.

Dit betekent ook dat de Britse toezichthouder, ICO, met ingang van 1 januari 2021 geen onderdeel meer uitmaakt van het One-Stop-Shop (OSS) mechanisme. Het OSS mechanisme beoogt één leidende toezichthouder aan te wijzen waartoe een verwerker of verwerkingsverantwoordelijke zich kan wenden voor alle kwesties gerelateerd aan grensoverschrijdende verwerkingen van persoonsgegevens. Volgens de European Data Protection Board zijn inmiddels afspraken gemaakt met ICO over de overdracht van lopende onderzoeken, zodat deze onderzoeken zonder noemenswaardige vertraging en andere ongemakken kunnen worden voortgezet.

Organisaties die niet in de Unie zijn gevestigd, maar wiens verwerkingsactiviteiten wel onderhevig zijn aan de AVG, moeten op grond van de AVG een vertegenwoordiger in de Unie aanwijzen. Deze vertegenwoordiger mag inmiddels dus niet meer in het VK gevestigd zijn.

Actiepunten

Welke actiepunten moet u op uw lijstje zetten? U heeft kort samengevat een termijn van maximaal zes maanden om maatregelen te treffen. Het is zaak die tijd nuttig te besteden door de volgende activiteiten uit te voeren:

  • Breng in kaart of, en zo ja welke persoonsgegevens er met organisaties in het VK worden gedeeld. Denk (vooral) aan het gebruik van leveranciers van clouddiensten die in het VK zijn gevestigd of die gebruik maken van datacenters in het VK.
  • Beoordeel hoe de doorgifte in lijn gebracht kan worden met de AVG. Het ligt voor de hand hiervoor gebruik te maken van de standaard modelcontracten van de Europese Commissie, maar let op de recente gevolgen van de Schrems II uitspraak. Zorg ervoor dat het gekozen instrument op uiterlijk 30 juni 2021 klaar is voor gebruik.
  • Registreer intern dat persoonsgegevens worden doorgegeven aan het VK. Bijvoorbeeld in het verwerkingsregister en het interne privacy beleid.
  • Pas de privacyverklaring voor betrokkenen aan om betrokkenen te informeren over de doorgifte naar het VK.

Vragen?

Heeft u vragen over internationale datadoorgiften , neemt u dan contact op met Jeroen van Helden.