Op 4 juni 2021 heeft de Europese Commissie een nieuw modelcontract gepubliceerd voor de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). In dit artikel wordt stilgestaan bij de gevolgen hiervan voor de praktijk.
In het kort
- Het nieuwe modelcontract mag vanaf 27 juni 2021 worden gebruikt voor de betreffende internationale doorgiften, waarbij ook een data transfer impact assessment gedaan zal moeten worden en eventueel aanvullende commerciële afspraken kunnen worden gemaakt;
- De oude modelcontracten mogen vanaf 27 september 2021 niet langer gebruikt worden voor nieuwe doorgifte of doorgifte waarbij de onderliggende verwerking wijzigt, omdat de geldigheid van de oude modelcontracten per die datum wordt ingetrokken; en
- Vanaf 27 december 2022 zullen ook bestaande doorgiften niet langer gelegitimeerd kunnen worden op basis van de oude modelcontracten en zal doorgifte dus enkel zijn toegestaan op basis van het nieuwe modelcontract of een andere wettelijke legitimering.
Achtergrond
De Algemene verordening gegevensbescherming (AVG) beoogt de verwerking van persoonsgegevens binnen de EER te harmoniseren. Het doel hiervan is onder meer het vrije verkeer van persoonsgegevens binnen de EER te faciliteren.
Doorgiften van persoonsgegevens naar landen buiten de EER is uitsluitend toegestaan indien aan bepaalde voorwaarden is voldaan. Een in de praktijk populaire route is het gebruik van door de Europese Commissie goedgekeurde modelcontracten (Standard Contractual Clauses of SSCs).
Het EU Hof van Justitie heeft eerder in het Schrems II-arrest bepaald dat deze Standard Contractual Clauses enkel gebruikt mogen worden indien ook in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd.
Oude modelcontracten
Hoewel de modelcontracten uit 2004, 2010 en 2014 populair zijn is het gebruik in de praktijk niet altijd even gemakkelijk gebleken. Dit gaat verder dan de discussie over de rechtmatigheid van de modelcontracten waarover het EU Hof van Justitie zich heeft uitgelaten in Schrems II.
De modelcontracten zien uitsluitend op de doorgifte tussen twee verwerkingsverantwoordelijken of een verwerkingsverantwoordelijke aan een verwerker, terwijl er in de praktijk veel meer varianten denkbaar zijn zoals de doorgifte van een (sub)verwerker aan een andere (sub)verwerker.
De modelcontracten zijn daarnaast wel (expliciet) geldig gebleven bij inwerkingtreding van de AVG, maar ze sluiten er inhoudelijk niet helemaal bij aan. Concreet blijkt dit bijvoorbeeld uit het ontbreken van (expliciete) afspraken over de omgang met datalekken.
Nieuw modelcontract
Het is voor de praktijk dan ook prettig dat de Europese Commissie nu een nieuwe set heeft gepubliceerd. Deze set is op 12 november 2020 ter consultatie aangeboden en in finale vorm op 4 juni 2021 gepubliceerd, waarna deze vanaf 27 juni 2021 gebruikt kan worden.
Meer varianten
Inhoudelijk is de nieuwe set ingrijpend gewijzigd, waarbij allereerst opvalt dat het nieuwe modelcontract veel meer varianten ondersteunt zoals:
- de doorgifte van een verwerker aan een verwerkingsverantwoordelijke en de doorgifte van een (sub)verwerker aan een (sub)verwerker;
- de doorgifte waarbij de AVG van toepassing is doordat de betrokkenen zich in de EER bevinden, terwijl de verwerkingsverantwoordelijke daar niet gevestigd is; en
- de doorgifte waarbij meer dan twee partijen zijn betrokken en de kring van partijen zich in de loop van de tijd verder uitbreid (“docking-bepaling”).
De enige varianten die niet ondersteund lijken te worden zijn de situatie waarin de verwerking door de gegevensimporteur onder de AVG valt of de situatie waarin de doorgifte van persoonsgegevens onder de Britse variant van de AVG is gereguleerd.
Schrems II
Wat verder in het oog springt is dat de nieuwe Standard Contractual Clauses nadrukkelijk oog hebben voor de Schrems II zaak, waarbij de principes behouden zijn gebleven waarop het EU Hof van Justitie de Standard Contractual Clauses in beginsel toelaatbaar oordeelde.
De nieuwe Standard Contractual Clauses bepalen in aanvulling dat de gegevensexporteur een data transfer impact assessment zal moeten uitvoeren en waaraan deze assessment dient te voldoen. Op verzoek dient deze assessment aan de toezichthouder beschikbaar te worden gesteld.
Ook de waarborgen tegen inmenging door een overheidsinstantie in het derde land zijn aangescherpt, zoals:
- indien mogelijk dient de gegevensimporteur de gegevensexporteur en betrokkenen te informeren over een verzoek om toegang door een overheidsinstantie;
- de rechtmatigheid van een verzoek dient te worden getoetst en redelijkerwijs worden aangevochten door de gegevensimporteur en zo mogelijk (tijdelijk) opgeschort; en
- de gegevensimporteur dient de genomen stappen te documenteren en zal los daarvan een transparantierapport moeten publiceren met meer generieke statistieken op dit punt.
Aanvullende afspraken
Ten opzichte van de consultatieversie van 12 november 2020 valt daarnaast op dat veel commercieel getinte bepalingen zijn geschrapt in de finale versie, zoals bijvoorbeeld afspraken over de kosten van audits. Blijkbaar heeft de Europese Commissie zich hierin niet willen mengen.
Voor de praktijk betekent dit laatste dat organisaties hier aanvullende afspraken over kunnen maken. De Standard Contractual Clauses staan aanvullingen toe, zolang die niet in tegenspraak zijn met de inhoud van de Standard Contractual Clauses en geen afbreuk doen aan de grondrechten van betrokkenen.
Verwerkersovereenkomst
Als de Standard Contractual Clauses worden gesloten tussen een verwerkingsverantwoordelijke en een verwerker is het niet langer nodig om een afzonderlijke verwerkersovereenkomst te sluiten. Alle verplichte onderwerpen worden namelijk ondervangen in de Standard Contractual Clauses.
Op 4 juni 2021 heeft de Europese Commissie overigens ook een standaard verwerkersovereenkomst gepubliceerd die een verwerkingsverantwoordelijke en verwerker binnen de EER met elkaar kunnen sluiten.
Meer weten?
Wilt u weten of het nieuwe modelcontract gevolgen voor u heeft? Heeft u hulp nodig bij het sluiten van de modelcontracten of het uitvoeren van een data transfer impact assessment? Wilt u advies in verband met internationale doorgifte van persoonsgegevens? Neem dan contact op met een van onze specialisten.