Het Verenigd Koninkrijk heeft de Europese Unie verlaten. Er zijn nu nog maar 27 lidstaten over. Het Verenigd Koninkrijk maakte deel uit van de EU toen het Europees privacy kader genaamd de ‘GDPR’ van kracht werd en heeft de GDPR opgenomen in zijn eigen nationale wetgeving (dit wordt nu de Britse GDPR genoemd) naast de Engelse implementatiewetgeving genaamd de UK Data Protection Act van 2018 (of kortweg DPA 2018). De GDPR en de Britse GDPR hebben beide hun oorsprong op het vasteland van de EU. Als we naar deze omstandigheden kijken, zou je kunnen stellen dat er niet veel zal veranderen, omdat deze wetten in wezen hetzelfde zijn, maar is dit echt het geval? Als er zaken veranderen tussen de ’twee GDPR’s’, wat verandert er dan en hoe kan je organisatie zaken blijven doen met het Verenigd Koninkrijk en vice versa? Dit zijn vragen die we in dit artikel zullen beantwoorden.

Handelsdeal 

Laten we beginnen met het goede nieuws: als onderdeel van de overeengekomen handelsovereenkomst tussen het Verenigd Koninkrijk en de Europese Unie kon je al persoonsgegevens blijven overdragen van en naar het Verenigd Koninkrijk voor een periode van maximaal zes maanden. Dit betekende dat er tot 1 juli 2021 geen beperkingen waren op de stroom van persoonsgegevens. Het Verenigd Koninkrijk kreeg na deze periode een adequaatheidsbesluit van de Europese Commissie. In feite betekende dit dat je als organisatie tot toen de tijd had om ervoor te zorgen dat de overdracht van persoonsgegevens in overeenstemming was. Hetzelfde geldt wanneer er adequaatheidsbesluit is genomen.

Wat is er veranderd met de Brexit? 

Voor het Verenigd Koninkrijk, dat nu een adequaat derde land is onder de AVG is de Britse GDPR al van kracht geworden op 31 januari 2020. Op dat moment heeft het Verenigd Koninkrijk ook alle adequaatheidsbesluiten tussen de Europese Unie en andere landen aanvaard en de Europese lidstaten adequaat geacht in de ogen van de Britse GDPR. Dit betekent dat in de ogen van het Verenigd Koninkrijk de gegevensoverdrachten van het Verenigd Koninkrijk naar Europa grotendeels hetzelfde blijven.

Op 1 januari 2021 zijn de Britse GDPR en Data Protection Act van 2018 de de facto Data Protection Legislation voor het Verenigd Koninkrijk geworden. [2] Het wordt de Britse GDPR genoemd omdat het in wezen de GDPR is met enkele wijzigingen. De Britse GDPR leest bijvoorbeeld anders omdat begrippen als ‘Europese Unie’ zijn vervangen door ‘Verenigd Koninkrijk’ en ‘Recht van de Europese Unie’ is vervangen door ‘nationaal recht’. Ook zal niet langer de European Data Protection Board, maar het Information Commissioners Office (ICO) de hoogste toezichthoudende autoriteit zijn voor de handhaving van de gegevensbeschermingsverordening in het Verenigd Koninkrijk.

Andere wijzigingen zijn te vinden in de DPPEC-verordening van de Regering van het Verenigd Koninkrijk. [3] Dit omvat veranderingen op het gebied van nationale veiligheid, inlichtingendiensten en immigratie. Ten eerste is er het einde van het samenwerkingsmechanisme tussen de toezichthoudende autoriteiten van de Europese Unie en de ICO. Ten tweede is er de afschaffing van het one-stop-shop-mechanisme met betrekking tot datalekken en de instelling van de extra territoriale jurisdictie die het Verenigd Koninkrijk zal hebben wanneer bedrijven aan het Verenigd Koninkrijk verkopen of toezicht houden op het gedrag van burgers van het Verenigd Koninkrijk. Bovendien wordt de leeftijd van toestemming voor de verwerking van persoonsgegevens verlaagd tot 13 jaar (16 onder de AVG). Dit is een verkort artikel, daarom zullen deze wijzigingen niet verder worden besproken.

Data Protection Representative (DPR) 

Omdat de Britse GDPR een extraterritoriale reikwijdte heeft, net als de originele GDPR, betekent dit dat als u een organisatie bent die persoonsgegevens overdraagt van het Verenigd Koninkrijk naar Europa of vice versa, u een vertegenwoordiger voor gegevensbescherming, ofwel een Data protection representative (DPR) moet aanstellen. [4] Deze functie kan worden vervuld door een rechtspersoon of natuurlijke persoon. Het is belangrijk om te weten wat een DPR doet. De DPR heeft inzicht in en toegang tot de gegevens met betrekking tot de verwerking van persoonsgegevens die door uw organisatie worden uitgevoerd op personen in Europa of het Verenigd Koninkrijk. Dit betekent dat de DPR toegang moet hebben tot het overzicht van de organisatie van persoonsgegevens die worden verwerkt. In de AVG wordt dit het ‘register van verwerkingsactiviteiten’ genoemd. Daarnaast moet de DPR toegang hebben tot relevante procedures binnen de organisatie om als officiële vertegenwoordiger op te treden. Wanneer een persoon bijvoorbeeld aan de DPR laat weten dat hij of zij een kopie wil ontvangen van de persoonsgegevens die door uw organisatie worden verwerkt, moet de DPR de betrokkene kunnen helpen met dat verzoek. Hoewel de verantwoordelijkheid van de verwerkingsactiviteit als geheel bij de organisatie (ook wel de controller genoemd) blijft, kan de DPR aansprakelijk worden gesteld voor de wijze waarop hij of zij deze rol voor de organisatie vervult. Dit betekent dat de DPR kan worden onderworpen aan handhavingsprocedures door de ICO of Europese toezichthoudende autoriteiten.

Doorgifte van persoonsgegevens van de Europese Unie naar het Verenigd Koninkrijk of omgekeerd 

Momenteel is het Verenigd Koninkrijk een zogenaamd ‘derde land’ onder de AVG. Als United Kingdom geen adequaatheidsbesluit had gekregen zou dat betekenen dat gegevensoverdrachten naar het Verenigd Koninkrijk konden moesten worden beperkt. Beperkt betekent dat normale overdrachten niet zijn toegestaan en om nog steeds persoonsgegevens naar een derde land over te dragen, moet een afwijking in de AVG worden gebruikt. Dit kunnen standaardcontractbepalingen (SCC’s), bindende bedrijfsregels of een eenmalige afwijking zijn, zoals geïnformeerde en uitdrukkelijke toestemming van de betrokkene. In de praktijk betekende dit als United Kingdom geen adequaatheidbesluit had gekregen de gegevensverwerkingsovereenkomst die u mogelijk heeft met bijvoorbeeld een IT-bedrijf in het Verenigd Koninkrijk niet langer van kracht is en dat een van deze andere overdrachtsmechanismen moet worden gebruikt. [5] United Kingdom heeft echter wel een adequaatheidsbesluit gekregen en om die reden in het afsluiten van een verwerkersovereenkomst in principe voldoende om een gegevensoverdracht naar United Kingdom mogelijk te maken. Het is echter wel aan te bevelen om inzicht te hebben in welke gegevensstromen er zijn van de Europese Unie naar het Verenigd Koninkrijk en vervolgens de overdrachtsmechanismen zo snel mogelijk bij te werken om aan de mogelijke aansprakelijkheid onder de AVG af te dekken.
En andersom? Het doorgeven van persoonsgegevens van het Verenigd Koninkrijk aan de Europese Unie is iets eenvoudiger. Europese lidstaten worden in de ogen van de Britse GDPR adequaat geacht. Dit betekent dat verwerkingsverantwoordelijken persoonsgegevens in de Europese Unie kunnen laten verwerken op grond van een bestaande gegevensverwerkingsovereenkomst en op dit moment geen gebruik hoeven te maken van een van de afwijkingen. Opmerking: de verwerkingsverantwoordelijke moet in het Verenigd Koninkrijk zijn gevestigd.

De status van het Verenigd Koninkrijk in de ogen van de Europese Unie, zal het een adequaatheidsbesluit krijgen? 

Zoals we hebben geleerd, in eerste instantie was het Verenigd Koninkrijk een derde land onder de AVG. Inmiddels heeft United Kingdom een adequaatheidsbesluit gekregen. Andersom is dit ook het geval, omdat United Kingdom de Europese lidstaten al als adequaat heeft erkend.

Voordat United Kingdom een adequaatheidsbesluit kreeg waren er verschillende factoren die de Europese Unie in overweging moest nemen. Een van die factoren was dat het Verenigd Koninkrijk in oktober 2019 een overeenkomst met de Verenigde Staten heeft ondertekend over de stroom van bepaalde persoonsgegevens van het Verenigd Koninkrijk naar de Verenigde Staten. In wezen zal de overeenkomst bepaalde belemmeringen voor het delen van gegevens op het gebied van criminaliteitsbestrijding tussen de twee landen verminderen. De EDPB heeft verklaard dat de waarborgen in die overeenkomst mogelijk niet zullen voldoen aan de normen voor gegevensbescherming van de Europese Unie. En heeft opgeroepen tot verplichte voorafgaande rechterlijke toestemming bij het delen van metadata en inhoudsgegevens. Volgens de huidige overeenkomst tussen het Verenigd Koninkrijk en de Verenigde Staten is dit niet het geval. Het is belangrijk hier op aan te merken dat, hoewel deze overeenkomst tussen het Verenigd Koninkrijk en de Verenigde Staten van kracht is, het een maas in de AVG zou creëren, omdat een adequaat land in wezen een niet-GDPR-conforme overeenkomst zou hebben met een ander niet-adequaat land. De EDPB stelde dat de Europese Commissie hiermee rekening zal houden bij de beslissing of het Verenigd Koninkrijk al dan niet een adequaatheidsbesluit zal ontvangen. [6]
Uiteindelijk op 28 Juni 2021, heeft de Europese Unie, United Kingdom als adequaat land bestempeld onder de AVG en kan United Kingdom als zodanig worden beschouwd.

Momenteel richt het Verenigd Koninkrijk zich op het aantrekken van aanzienlijke buitenlandse economische investeringen en zou het de noodzaak kunnen voelen om de regelgeving inzake gegevensbescherming in het licht van dit doel te moeten versoepelen. Rekening houdend met het bovenstaande, is het vermeldenswaardig dat de Europese Commissie een zogenaamde sunset-clausule heeft geïntroduceerd. Dit betekent dat het adequaatheidsbesluit waar we het in dit artikel over hadden geldig is tot juni 2025.

Na juni 2025 moet het adequaatheidsbesluit expliciet worden verlengd. Wat er in de toekomst zal gebeuren, is dat de Europese Commissie de situatie in het Verenigd Koninkrijk in afwachting van deze datum opnieuw zal bezien. Als de situatie zich voordoet dat het Verenigd Koninkrijk een andere kant opgaat met databescherming en het adequaatheidsbesluit niet wordt verlengd, zal het Verenigd Koninkrijk opnieuw als ontoereikend worden bestempeld.

Aandachtspunten:

• Er was een overgangsfase en er waren geen beperkingen tot 1 juli 2021.
• Het Verenigd Koninkrijk is momenteel een derde land onder de GDPR.
• Het Verenigd Koninkrijk heeft adequaatheidsbesluit gekregen, dit betekend dat gegevensverwerkingen van de Europese Unie naar United Kingdom doorgang hebben.
• Wanneer vanuit het Verenigd Koninkrijk wordt gewerkt als verwerkingsverantwoordelijke die persoonsgegevens verwerkt in de Europese Unie, moet mogelijk een DPR worden benoemd en vice versa.
• Het Verenigd Koninkrijk heeft de Europese Unie als adequaat erkend, dit betekent dat de doorgifte van persoonsgegevens van het Verenigd Koninkrijk naar de Europese Unie kan worden voortgezet.
• Gegevensverwerkingsovereenkomsten tussen de Europese Unie en het Verenigd Koninkrijk zijn geldig en het is aan te raden deze te gebruiken.
• In Juni 2025 is er een beslissingsmoment voor de Europese Commissie om het adequaatheidsbesluit te verlengen of niet.

[1] Non-adequate country: A country under the GDPR that has not received an adequacy decision, this means that appropriate measures must be taken to safeguard the transfer of personal data. This can mean (among others) standard contractual clauses and binding corporate rules.
[2] If you have any ‘legacy’ personal data, collected before the 1^st of January 2021, the original (non UK) GDPR continues to apply to that personal data as well.
[3] Data Protection, Privacy and Electronic Communication (EU Exit) Regulation.
[4] Unless processing is occasional, does not include large scale processing of special categories of personal (or criminal) data, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context and purpose of the processing activity.
[5] Standard Contractual Clauses (often the easiest option for most organizations) can be downloaded from the website of the European Commission and filled in. Please note: SCCs cannot be altered, only filled in.
[6] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_letter_out_2020-0054-uk-usagreement.pdf