Europese Commissie neemt nieuwe modelbepalingen (Standard Contractual Clauses) voor gegevensdoorgiften naar derde landen aan

De Europese Commissie heeft op 4 juni 2021 nieuwe Standard Contractual Clauses (hierna afgekort tot SCC’s) aangenomen. In dit blog zullen we kort bespreken waarom de Europese Commissie nieuwe SCC’s heeft aangenomen, wat er is veranderd ten opzichte van de voorgaande versie van de SCC’s en – voor u het meest belangrijk – wat u of uw bedrijf nu het beste kan doen naar aanleiding van het aannemen van deze SCC’s.

Waarom nieuwe SCC’s?

Om het belang van deze nieuwe SCC’s goed te begrijpen is het goed om kort stil te staan bij de functie van de SCC’s in het algemeen. De SCC’s vormen een modelcontract dat kan worden gebruikt om de waarborgen te bieden die hoofdstuk 5 van de Algemene Verordening Gegevensbescherming (AVG) vereist voor het doorgeven van gegevens vanuit de EER naar landen buiten de Europese Economische Ruimte (EER). Persoonsgegevens mogen onder de AVG niet zomaar naar landen buiten de EER (ook wel: derde landen) worden doorgegeven. Gegevens mogen enkel worden doorgegeven wanneer gewaarborgd is dat de gegevens ook in het derde land voldoende beschermd worden. Dit is bijvoorbeeld het geval wanneer de Europese Commissie een adequaatheidsbesluit uitvaardigt ten behoeve van dat derde land (zie voor meer informatie in dit kader ook ons blog over Brexit en de AVG). Wanneer er geen adequaatheidsbesluit bestaat ten aanzien van het derde land waaraan de gegevens worden doorgegeven, kunnen (onder meer) middels de SCC’s afspraken worden gemaakt met de partij die de persoonsgegevens ontvangt. Dat kan een andere ‘verwerkingsverantwoordelijke’ of een ‘verwerker’ (zoals bijvoorbeeld een softwareleverancier) zijn. Deze afspraken moeten ervoor zorgen dat de vertrouwelijkheid, integriteit en beschikbaarheid van die gegevens voldoende wordt beschermd.

De oude SCC’s, die al een behoorlijke tijd meegingen, waren aan vervanging toe In de Schrems II uitspraak van het Europese Hof van Justitie kwam ook naar voren dat niet alleen goede afspraken moeten worden gemaakt tussen de gegevensexporteur en -importeur, maar ook dat beoordeeld moet worden of deze afspraken de gewenste uitwerking zullen hebben in het licht van de wetgeving in het land waar de gegevens naartoe worden gestuurd. Veelal zijn dan nog aanvullende maatregelen vereist, wat in de nieuwe SCC’s duidelijker naar voren is gebracht. Hierover heeft de EDPB inmiddels ook richtlijnen gepubliceerd.

Wat is er veranderd ten opzichte van de oude SCC’s?

De nieuwe SCC’s omvatten een aantal nieuwe bepalingen die met name zijn toegevoegd naar aanleiding van de Schrems II uitspraak. Maar niet alleen qua inhoud zijn er wijzigingen doorgevoerd, ook de vorm van de SCC’s is gewijzigd.

Anders dan voorheen is er nu één set SCC’s met daarin de bepalingen voor alle varianten van doorgiften (verwerkingsverantwoordelijke-verwerker, verwerkingsverantwoordelijke-verwerkingsverantwoordelijke, verwerker-verwerkingsverantwoordelijke en verwerker-verwerker), waar er voorheen voor verschillende varianten een eigen set SCC’s bestond – en voor bijvoorbeeld de relatie verwerker-subverwerker geen officieel modelcontract bestond.

Bij de nieuwe SCC’s moeten partijen dus onderling afspreken welke specifieke bepalingen van toepassing zijn.

Er zijn ook nieuwe bepalingen in dit modelcontract opgenomen. Zo is een bepaling opgenomen die verplicht tot het doen van een Data Transfer Impact Assessment (DTIA). Daarnaast zijn er bepalingen toegevoegd die zien op de toegang tot persoonsgegevens door autoriteiten. Zo moeten gegevensimporteurs zowel de exporteur als betrokkenen informeren ingeval van een verzoek tot inzage door de autoriteiten, moet de importeur de legaliteit van het inzageverzoek onderzoeken (en verplicht ageren tegen dat verzoek indien daartoe grond bestaat) en ingeval aan een verzoek gehoor dient te worden gegeven dienen enkel de minimale verplichte gegevens te worden getoond.

Hiermee hebben wij een aantal bepalingen uitgelicht, maar niet alle veranderingen besproken. Het is goed om de relevante bepalingen voor uw specifieke verwerkingsrelatie door te nemen.

Wat nu?

De nieuwe SCC’s zijn nu dus aangenomen en gepubliceerd door de Europese Commissie. Deze kunnen nu worden gebruikt. Tot 27 september 2021 geldt een overgangsperiode en kunnen ook de oude SCC’s nog worden gesloten. Vanaf 27 september 2021 hebben partijen die de oude SCC’s gebruiken 15 maanden de tijd om deze nieuwe SCC’s te sluiten die de oude vervangen. Let wel, hierbij geldt dat de verwerkingsactiviteiten niet mogen veranderen en (ook bij gebruik van de oude SCC’s) is het nodig dat dit gebruik van SCC’s toereikende waarborgen ter bescherming van de privacy van betrokkenen biedt.

Omdat in HvJ Schrems II bepaald is dat die oude SCC’s onvoldoende waarborgen bieden, is het wel raadzaam om zo snel mogelijk over te stappen en nieuwe afspraken te maken als data importeur of exporteur.

Wilt u weten welke bepalingen u precies moet gebruiken? Wilt u weten wat de nieuwe bepalingen voor u in de praktijk betekenen? Of heeft u andere vragen met betrekking tot het doorgeven van persoonsgegevens? Neem contact met ons op en wij helpen u graag verder!