Europees Comité voor gegevensbescherming

Europees Comité voor gegevensbescherming – Vijfendertigste plenaire vergadering: Informatieve nota over bindende bedrijfsvoorschriften met de toezichthoudende autoriteit van het Verenigd Koninkrijk (TA VK) als primaire autoriteit

Thursday, 23 July, 2020

Brussel, 23 juli – In het licht van het aanstaande einde van de Brexit-overgangsperiode heeft het EDPB een informatieve nota aangenomen met een overzicht van de maatregelen die moeten worden getroffen door toezichthoudende autoriteiten (TA’s), organisaties met goedgekeurde bindende bedrijfsvoorschriften (Binding Corporate Rules – BCR’s) en organisaties die nog op goedkeuring van hun BCR’s door de TA VK wachten , om te waarborgen dat deze voorschriften na het eind van de overgangsperiode nog steeds kunnen worden gebruikt als geldig instrument voor de doorgifte van gegevens. Aangezien de TA VK na de overgangsperiode niet langer in aanmerking komt voor de functie van bevoegde TA, zullen de door de TA VK uit hoofde van de algemene verordening gegevensbescherming (AVG) genomen goedkeuringsbesluiten dan geen rechtsgevolgen meer hebben in de EER. Bovendien moet de inhoud van de betrokken BCR’s mogelijk voor het einde van de overgangsperiode worden gewijzigd, aangezien deze voorschriften normaal gesproken verwijzingen naar de rechtsorde van het Verenigd Koninkrijk bevatten. Dit geldt ook voor de BCR's die reeds overeenkomstig Richtlijn 94/46/EG zijn goedgekeurd.

Organisaties met BCR’s waarvoor de TA VK als primaire toezichthoudende autoriteit fungeert, moeten alle nodige organisatorische regelingen treffen om een nieuwe primaire toezichthoudende autoriteit in de EER aan te wijzen. De wisseling van primaire toezichthoudende autoriteit voor de BCR’s moet voor het einde van de overgangsperiode van Brexit van kracht worden.

Organisaties die thans een BCR-goedkeuringsaanvraag hebben lopen, wordt aangeraden om ruim voor het einde van de Brexit-overgangsperiode alle nodige organisatorische regelingen te treffen om een nieuwe primaire toezichthoudende autoriteit in de EER aan te wijzen, zoals het verstrekken van benodigde informatie aan de betreffende TA met betrekking tot waarom deze TA wordt aangemerkt als de nieuwe primaire toezichthoudende autoriteit voor de BCR’s. De laatstgenoemde neemt de aanvraag over en initieert formeel een goedkeuringsprocedure, die afhankelijk is van het advies van het Europees Comité voor gegevensbescherming. BCR's die door de TA VK overeenkomstig de AVG zijn goedgekeurd, moeten door de nieuwe primaire toezichthoudende autoriteit voor BCR’s in de EER voor het einde van de overgangsperiode opnieuw worden goedgekeurd, na een advies van het EDPB. Het EDPB heeft ook een bijlage vastgesteld met daarin een checklist met elementen die in verband met de Brexit moeten worden gewijzigd in documenten inzake bindende bedrijfsvoorschriften.

Deze informatieve nota loopt niet vooruit op de momenteel door het EDPB verrichte analyse van de gevolgen van het arrest van het Hof van Justitie van de Europese Unie in de zaak Data Protection Commissioner tegen Facebook Ireland en Schrems voor BCR’s als instrumenten voor de doorgifte van gegevens.

EDPB_Press Release_2020_13