De uitspraak in de zaak Schrems II deze zomer zette de doorgifte van persoonsgegevens buiten Europa op losse schroeven. Niet alleen het Privacy Shield werd ongeldig verklaard. Ook werden er vraagtekens gezet bij de Standard Conctractual Clauses (SCC’s), oftewel de modelcontracten die veelvuldig gebruikt worden voor ‘veilige’ gegevensdoorgifte buiten Europa. De Europese Commissie heeft in reactie daarop nieuwe concepten voor de SSC’s gemaakt.
In onze vorige blog bespraken we de roadmap die door Europa is opgesteld voor veilige data-uitwisseling met landen buiten de Europese Economische Ruimte (EER) als antwoord op de zaak Schrems II.
Naast deze roadmap heeft de Europese Commissie in november een conceptversie voor nieuwe SCC’s gepubliceerd.
Hieronder bespreken we de huidige modelcontracten en het voorstel voor de nieuwe SCC’s.
De huidige Standard Contractual Clauses
Doorgifte van persoonsgegevens aan partijen buiten de EER - ook wel derde landen genoemd - kan in principe alleen wanneer het betreffende land een passend beschermingsniveau waarborgt. Dat wil zeggen een beschermingsniveau dat minimaal gelijk is aan het niveau in de EER.
Indien dit niet het geval is kunnen persoonsgegevens in beginsel alleen worden doorgegeven, wanneer er passende waarborgen zijn getroffen om ervoor te zorgen dat het beschermingsniveau toch gelijkwaardig is aan het niveau binnen de EER.
Door middel van SCC’s kunnen deze waarborgen worden getroffen. De Europese Commissie heeft op dit moment drie goedgekeurde modelcontracten, waarbij één partij binnen de EU gevestigd is en de ander niet:
Een modelcontract van de Europese Commissie voor doorgifte tussen twee verantwoordelijken waarbij de één gevestigd is binnen de Europese Unie (EU) en de ander daarbuiten, zie: Beschikking van de Commissie van 15 juni 2001 (2001/497/EG);
Een door het bedrijfsleven opgesteld alternatief modelcontract voor de doorgifte tussen twee verantwoordelijken waarbij de één gevestigd is binnen de EU en de ander daarbuiten, zie: Beschikking van de Commissie van 27 december 2004 (2004/915/EG);
Een modelcontract voor doorgifte van een verantwoordelijke gevestigd binnen de EU naar een verwerker in een derde land, zie Besluit van de Commissie van 5 februari 2010 (2010/87/EU).
Er ontbreekt dus een versie die van toepassing kan zijn bij de doorgifte van persoonsgegevens door verwerkers binnen de EER naar (sub-)verwerkers buiten de EER. Dit, terwijl deze verhouding in de praktijk veelvuldig voorkomt (denk aan de verwerker die data host via een derde met een server in de VS).
Nieuwe SCC’s: breder toepasbaar en inspelend op Schrems II
In de nieuwe concept SCC’s is een groot deel van de huidige standaardbepalingen overgenomen, maar er zijn uiteraard ook de nodige aanvullingen en aanpassingen gedaan. Hieronder volgen de belangrijkste.
Zo zijn in de concept SCC’s verschillende modules opgenomen, zodat de modelcontracten breder toepasbaar zijn. Aan de hand van de relatie tussen partijen onder de AVG kunnen de modules worden geselecteerd. Zo zijn er bepalingen voor:
doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
doorgifte van verwerkingsverantwoordelijke naar verwerker;
doorgifte van verwerker naar verwerker;
doorgifte van verwerker naar verwerkingsverantwoordelijke.
Daarnaast gaan de nieuwe SCC’s in op hetgeen in Schrems II is bepaald. Een partij binnen de EER die persoonsgegevens doorgeeft aan een partij buiten de EER, moet een risicoanalyse van de doorgifte aan deze partij documenteren. Deze documentatie moet hij desgevraagd kunnen overleggen aan een toezichthoudende autoriteit.
Krijgt een ontvangende partij een verzoek om inzage van publieke organen, zoals een inlichtingendienst? Dan moet hij niet alleen de doorgevende partij informeren, maar ook de betrokkenen.
Daarbij moet de ontvangende partij eerst nagaan of het betreffende publieke orgaan op basis van de wet wel bevoegd is om gegevens in te zien. Zo ja, dan mogen alleen de noodzakelijke gegevens ingezien worden.
Wat betekent dit voor u?
De SCC's stonden open voor openbare raadpleging tot 10 december 2020. De definitieve SCC's zullen naar verwachting begin 2021 worden aangenomen.
Verwerkingsverantwoordelijken en verwerkers kunnen gedurende een overgangsperiode van één jaar vanaf de goedkeuring van de nieuwe modelcontracten hun huidige SCC’s blijven gebruiken. Op voorwaarde dat het contract ongewijzigd blijft. Daarna dienen alle SCC’s te zijn vervangen door de nieuwe versie.
Blijf op de hoogte
Abonneert u zich op onze maandelijkse nieuwsbrief en krijg alle ontwikkelingen rondom het Privacy Shield, de SCC’s en ander nieuws in ICT Recht gewoon in uw mailbox.