legal

GDPR en Brexit: wat met datatransfers naar het Verenigd Koninkrijk in 2021 en daarna?

Marc Van den Bossche Marc Van den Bossche

Alle landen van de Europese Economische Ruimte (EER) vallen onder de Europese GDPR-regels (GDPR = General Data Protection Resolution) en vormen aldus een - in principe - veilige haven van landen waarnaar persoonlijke data kunnen worden getransfereerd. Dit impliceert dat voor het overige aan alle voorwaarden voor datatransfers conform de GDPR en lokale databeschermingswetgeving wordt voldaan. Hierop verder ingaan zou ons hier te ver leiden.

Maar wat nu met datatransfers naar het Verenigd Koninkrijk (VK) vanaf 1 januari 2021? Als onderdeel van het Brexit-akkoord tussen het VK en de Europese Unie wordt het VK nog tot 30 april 2021 (indien een lidstaat zich tegen verlenging verzet) of zelfs tot uiterlijk 30 juni 2021 beschouwd als fictief behorende tot de EER, voor wat de GDPR betreft.  

Voor de periode nadien zijn er twee mogelijkheden: ofwel treft de Europese Commissie tijdig een adequaatheidsbesluit, waardoor het VK beschouwd wordt als een land dat over adequate gegevensbescherming beschikt, ofwel gebeurt dit niet. 

Indien de regels in het VK (de zogenaamde ‘UK GDPR’) niet tijdig een adequaatheidsbesluit krijgen, wordt het VK vanaf 1 juli 2021 beschouwd als eender welk ander derde land. Transfers van persoonsgegevens naar het VK zullen dan onderworpen moeten worden aan bijkomende maatregelen. In de praktijk zal veelal gebruik worden gemaakt van de zogenaamde ‘standard contractual clauses’ die dan ongewijzigd deel moeten uitmaken van het contract waarin de gegevenstransfer kadert. Voor transfers binnen internationale concerns kan worden gebruikgemaakt van zogenaamde ‘binding corporate rules’ (regels uitgevaardigd binnen een vennootschappengroep). Bovenop deze juridische maatregelen worden best ook technische beveiligingen gebruikt (encryptie, anonimisering, …). Gespecialiseerd advies is altijd aangewezen bij het implementeren van dergelijke maatregelen.