Is je onderneming GDPR-proof nà de Brexit?

james-newcombe-350779-unsplash

Vijf voor twaalf voor je onderneming

30 maart nadert met rasse schreden en er is nog steeds geen Brexit-deal aangekondigd. Tijd dus om je onderneming voor te bereiden wanneer je persoonsgegevens uitwisselt met Britse ondernemingen of er zelf een vestiging hebt.

Te nemen stappen:

Wanneer u als onderneming data doorgeeft aan het Verenigd Koninkrijk moet u volgende stappen nemen om u voor te bereiden:

– Vaststellen bij welke verwerkingsactiviteiten er persoonsgegevens aan het VK worden doorgegeven;
– Bepalen op welke hierboven beschreven gronden u de doorgifte wilt laten plaatsvinden;
– Uw documenten zoals uw verwerkingsregister aanpassen in die zin dat er persoonsgegevens buiten de EU worden verwerkt
– De privacy policy voor uw klanten aanpassen om hen ervan te informeren dat gegevens buiten de EU worden verwerkt.
– Er voor zorgen dat u klaar bent vóór 30 maart 2019!

To deal…

Met het akkoord dat voorlag en overeengekomen was tussen de EU en het Verenigd Koninkrijk, stelde er zich niet onmiddellijk een Brexit-probleem. Er was een uitstelregeling voorzien in het uittredingsakkoord waarbij de GDPR van toepassing zou blijven tot eind 2020.

Echter, de negatieve stemmingen in Londen van vorige week hebben dit akkoord meer dan op de helling gezet, zodat een “no-deal” Brexit scenario steeds meer waarschijnlijk wordt. De Gegevensbeschermingsautoriteit raadt dan ook aan de nodige stappen te nemen om deze “no deal” voor te bereiden.

Or not to deal?

Indien op 30 maart er nog geen enkel uittredingsakkoord bereikt is tussen de EU en het Verenigd Koninkrijk, dan moet de VK beschouwd worden als een derde land. Dit betekent dat de doorgifte van persoonsgegevens met het Verenigd Koninkrijk moet plaatsvinden op een van volgende gronden:
– Standaard bepalingen, zoals opgemaakt door de EU
– Ad-hoc bepalingen voor gegevensbescherming (mits goedkeuring)
– Bindende bedrijfsvoorschriften
– Afwijkingen

Standaard bepalingen en ad-hoc bepalingen

Deze modelcontracten werden opgemaakt en goedgekeurd door de Europese Commissie. Zij bieden aanvullende toereikende waarborgen voor gegevensbescherming wanneer er persoonsgegevens aan derde landen worden doorgegeven. Belangrijk hierbij is dat deze standaardbepalingen niet gewijzigd mogen worden.

Deze overeenkomsten mogen echter wel in een bredere overeenkomst worden opgenomen en er mogen aanvullende bepalingen aan worden toegevoegd, mits deze niet direct of indirect in tegenspraak zijn met de door de Europese Commissie vastgestelde standaardbepalingen voor gegevensbescherming. Deze wijzigingen moeten echter aanzien worden als “ad-hoc contractuele bepalingen”. Dit kan passende waarborgen bieden, rekening houdend met de specifieke situatie van uw onderneming.

Voordat de gegevens daadwerkelijk worden doorgegeven, moeten deze op maat gesneden contractuele bepalingen worden goedgekeurd door de Gegevensbeschermingsautoriteit, na advies van de EDPB. Gezien de nog resterende tijd raadt de Gegevensbeschermingsautoriteit aan om te werken met de “Standard Clauses”.

De standaard bepalingen die voorhanden zijn werden echter reeds in 2001 en 2004 voor verwerkingsverantwoordelijken en in 2010 voor overeenkomsten tussen een verwerkingsverantwoordelijke en een verwerker, opgesteld. Op dat moment was er nog geen sprake van de GDPR zodat de terminologie niet overeenkomt en ook enkele verplichte bepalingen die opgenomen moeten worden een verwerkersovereenkomst overeenkomstig artikel 28 GDPR, niet in de “standard clauses” voorzien zijn. Het is dan ook ten zeerste te betreuren dat de Europese Commissie nog niet het nodige gedaan heeft om deze standard clausules up te daten.

Bindende bedrijfsvoorschriften

Onder bindende bedrijfsvoorschriften (Binding Corporate Rules), wordt verstaan het eigen beleid voor de bescherming van persoonsgegevens die een groep ondernemingen intern hanteert om passende waarborgen te bieden voor de doorgifte van persoonsgegevens binnen de groep, zowel binnen als buiten de EER.

Indien uw onderneming reeds bindende bedrijfsvoorschriften heeft blijven deze gelden. Indien de bindende bedrijfsvoorschriften van voor de GDPR dateren zullen deze enkel aangepast moeten worden aan de GDPR.

Indien uw onderneming nog geen bindende bedrijfsvoorschriften heeft en u deze wilt invoeren, dan moeten deze worden goedgekeurd door de Gegevensbeschermingsautoriteit, na advies van de EDPB.

Afwijkingen

Belangrijk om te melden is dat wanneer er sprake is van een ‘afwijking’ de doorgifte van gegevens onder bepaalde omstandigheden is toegestaan. Afwijkingen vormen echter een uitzondering op de regel dat er passende waarborgen moeten zijn of dat de gegevens op basis van een adequaatheidsbesluit worden doorgegeven. Afwijkingen moeten daarom restrictief worden geïnterpreteerd en hebben hoofdzakelijk betrekking op verwerkingsactiviteiten die incidenteel en niet repetitief zijn.

Volgens artikel 49 GDPR kunnen deze afwijkingen onder andere in de volgende gevallen van toepassing zijn:
• wanneer een natuurlijke persoon uitdrukkelijk met de voorgestelde doorgifte heeft ingestemd na te zijn ingelicht over de risico’s die aan de doorgifte verbonden zijn;
• wanneer de doorgifte noodzakelijk is voor het uitvoeren of sluiten van een overeenkomst tussen de natuurlijke persoon en de verwerkingsverantwoordelijke of de overeenkomst wordt gesloten in het belang van de natuurlijke persoon;
• wanneer de doorgifte van gegevens noodzakelijk is gelet op zwaarwegende redenen van algemeen belang;
• wanneer de doorgifte van gegevens noodzakelijk is in verband met dwingende gerechtvaardigde belangen van de organisatie.

Conclusie

30 maart komt er snel aan en u kan maar beter voorbereid zijn. De Gegevensbeschermingsautoriteit geeft aan dat zij verwacht dat iedere onderneming nu zijn huiswerk doet om tijdig klaar te zijn en hierbij rekening te houden met een ‘no deal’-scenario. U hebt dus werk aan de winkel.

Indien u zich wenst te laten bijstaan door Mr. Franklin kan u steeds vrijblijvend contact opnemen met Olivier via olivier@misterfranklin.be.

Gerelateerde berichten