1. Context
De brexit zorgt voor veel onzekerheid voor partijen die handel voeren met Britse ondernemingen, onder meer op het vlak van douanecontroles, kosten voor leveringen en voorschriften inzake productkwaliteit en -veiligheid. Ook op het vlak van gegevensbescherming creëert de brexit grote onzekerheid. Op 1 januari 2021 is het Verenigd Koninkrijk officieel een derde land geworden ten opzichte van de Europese Unie, wat er op het vlak van gegevensbescherming voor zorgt dat ondernemingen in principe niet meer vrij persoonsgegevens aan het Verenigd Koninkrijk kunnen doorgeven volgens de regels van de Algemene Verordening Gegevensbescherming (beter bekend als de GDPR).
De Europese Commissie is zich bewust van de onzekerheid die de brexit brengt voor gegevensstromen tussen de Europese Unie en het Verenigd Koninkrijk. Zo stelt Věra Jourová, vicevoorzitter voor Waarden en Transparantie van de Europese Commissie:
“Het waarborgen van vrij en veilig verkeer van persoonsgegevens is van cruciaal belang voor bedrijven en burgers aan weerszijden van het Kanaal. Het VK heeft de EU verlaten, maar niet de Europese privacyfamilie”.
Een eerste stap die de Europese Unie zette in het waarborgen van vrij en veilig verkeer van persoonsgegevens naar het Verenigd Koninkrijk, is de voorwaardelijke interimregeling in het handels- en samenwerkingsakkoord tussen de Europese Unie en het Verenigd Koninkrijk (het zogenaamde “Kerstakkoord”). Het Kerstakkoord voorziet in een tijdelijke regeling, waarbij het doorgeven van persoonsgegevens naar het Verenigd Koninkrijk tot 30 juni 2021 niet als een doorgifte naar een derde land wordt aanzien. Bijgevolg kunnen ondernemingen momenteel persoonsgegevens doorgeven aan het Verenigd Koninkrijk zoals voor de brexit.
2. Het ontwerp van adequaatheidsbesluit en mogelijke struikelblokken
Om in een meer permanente en zekere regeling te voorzien, maakte de Europese Commissie op 19 februari 2021 bekend dat het de procedure heeft opgestart om een “adequaatheidsbesluit” vast te stellen ten aanzien van het Verenigd Koninkrijk.
Een adequaatheidsbesluit is een door de Europese Commissie genomen besluit waarin een derde land wordt aangemerkt als een land met een passend beschermingsniveau inzake gegevensbescherming. Daardoor kunnen ondernemingen vrij gegevens doorgeven naar het derde land zonder bijkomende voorwaarden. Concreet betekent het beoogde adequaatheidsbesluit dat ondernemingen uit de Europese Unie gegevens kunnen doorgeven naar het Verenigd Koninkrijk zoals ze dat deden voor de brexit.
De procedure voor het adequaatheidsbesluit is momenteel nog pril. De Europese Commissie heeft een ontwerp van adequaatheidsbesluit aangenomen, waarop het Europees Comité voor gegevensbescherming een niet-bindend advies moet geven. Daarna kan het ontwerpbesluit nog aangepast worden en dient de Europese Commissie het besluit ter goedkeuring voor te leggen aan comité van vertegenwoordigers van de lidstaten. Indien zij met het adequaatheidsbesluit instemmen, kan de Europese Commissie het besluit ten aanzien van het Verenigd Koninkrijk definitief vaststellen.
Het adequaatheidsbesluit ten aanzien van het Verenigd Koninkrijk is echter niet noodzakelijk een sluitende regeling voor doorgiften van persoonsgegevens naar het Verenigd Koninkrijk. Zoals we hier(De invloed van het Schrems II arrest op uw doorgiften naar derde landen onder de GDPR – Monard Law | Publicaties – monardlaw.be)eerder al uiteenzetten, heeft het Europese Hof van Justitie recent het Schrems arrest geveld. Dit arrest vernietigde het adequaatheidsbesluit ten aanzien van de Verenigde Staten, het zogenaamde Privacy Shield, en zette daarmee het mechanisme van adequaatheidsbesluiten op losse schroeven. Hoewel de Europese Commissie stelt dat het rekening houdt met die ontwikkeling in het adequaatheidsbesluit ten aanzien van het Verenigd Koninkrijk, valt af te wachten of het besluit een beoordeling door het Hof van Justitie zou doorstaan.
Deze bijdrage werd geschreven door het Monard Law Privacy en Data Protection Team.
