Het kerstakkoord dat over Pasen getild wordt: de doorgifte van persoonsgegevens na de Brexit
Op 23 juni 2016 beslisten de Britten in een referendum om de EU te verlaten. Dit was nauwelijks een maand na de inwerkingtreding van de GDPR. Meer dan 4 jaar later, na de ene deadline die de andere opvolgt, is de scheiding eindelijk rond. Het kerstakkoord van 24 december 2020 bezegelt de ordentelijke exit van de UK uit de EU. Of wacht. Toch niet helemaal. Want over die GDPR: daarover moet nog beslist worden. Binnen 4 maanden. Misschien 6. Wie weet.
Internationale doorgifte van persoonsgegevens
Vanaf de zomer van 2020 waren persoonsgegevens en de doorgifte ervan over internationale grenzen heen niet uit het nieuws weg te denken. Het Hof van Justitie van de EU (HvJ) plaatste in het Schrems II-arrest een bom onder dergelijke transfers door het privacy shield ongeldig te verklaren. En in oktober gaf datzelfde HvJ in een arrest over de toezichtregelingen van de Britse (en Franse en Belgische) overheid verder vorm aan de wijze waarop de beleidsmakers de regelingen inzake gegevensbescherming moeten evalueren.
In diezelfde periode was er nog geen uitzicht op een ordentelijke Brexit. Temidden van de algemene organisatorische en economische bezorgdheden over een mogelijke harde Brexit, gingen ook hier en daar stemmen op die de internationale doorgifteproblemen rond het vertrek van het Verenigd Koninkrijk in de kijker zetten. Vanuit continentaal Europees perspectief werd immers moord en brand geschreeuwd omtrent datatransfers naar de US, maar de UK is natuurlijk een véél dichtere buur.
Het was immers niet zo duidelijk of de doorgifte van persoonsgegevens vanuit de EER naar het Verenigd Koninkrijk net zo naadloos zou kunnen doorgaan na de Brexit-overgangsperiode zonder aanvullende maatregelen. Tenzij de Europese Commissie immers vóór 31 december 2020 een “adequaatheidsbesluit” met betrekking tot het Verenigd Koninkrijk zou nemen (of een andere vorm van overeenstemming werd bereikt), zouden EU/EER-organisaties die persoonsgegevens doorgeven aan organisaties in het Verenigd Koninkrijk (of hen toegang verlenen tot de gegevens), inbreuk maken op de GDPR.
Geen manoeuvreerruimte voor de EU
Dat de UK een “derde” land zou worden ten opzichte van de EU, is een evident gevolg van de Brexit. De impact hiervan op de doorgifte van persoonsgegevens, heeft echter lang niet de nodige aandacht gekregen.
Toen het begon te dagen, werd hier en daar dan ook geopperd dat er slechts 2 oplossingen mogelijk waren: ofwel werd tegen de ultieme deadline een afwijking overeengekomen (genre “adequaatheidsbesluit”), ofwel zouden betrokken partijen bij dergelijke transfers alternatieve maatregelen moeten treffen om dergelijke datatransfers mogelijk te maken. Hoe dan ook, in het licht van de uitspraken van het HvJ van de 2de helft van 2020, was de manoeuvreerruimte van de Europese Commissie (en van de partijen betrokken bij datatransfers) erg beperkt.
Laat ons beslissen om niet te beslissen
Het kerstakkoord dat uiteindelijk op 24 december 2020 gesloten werd tussen de UK en de EU, deed velen opgelucht ademhalen. Zelfs zonder kennis van het 1.259 pagina’s tellende document, was het duidelijk dat zo een akkoord in elk geval beter was dan geen akkoord.
Wie naast antwoorden op andere prangende zaken op zoek was naar een oplossing voor de datatransfers, komt echter bedrogen uit: op pagina 414 komen de onderhandelaars immers overeen dat gedurende een verder bepaalde periode, de UK niet beschouwd zal worden als een derde land (en alles dus bij het oude blijft, ook al is de UK inmiddels uit de EU gestapt).
Tenminste: zolang de UK zijn wetgeving niet aanpast. En in afwachting dat de Europese Commissie binnen de 4 maanden een adequaatheidsbesluit neemt. Een termijn die bovendien nog eens met 2 maanden kan worden verlengd.
En zo wordt de onzekerheid in stand gehouden, en kijken onze bedrijven weer aan tegen een nieuwe deadline eind juni. Wie graag knopen doorhakt, blijft in elk geval op zijn honger zitten.
Geeft jouw bedrijf persoonsgegevens door naar de UK? En heb je vragen over de beste strategie die je hieromtrent zou kunnen volgen? Contacteer ons via hallo@dejuristen.be.
Geschreven door Duygu Öztürk, CIPP/E, Privacy Chair deJuristen, en Kris Seyen, Partner deJuristen
