De Europese Commissie heeft nieuwe modelcontractbepalingen gepubliceerd en een adequaatheidsbesluit voor het Verenigd Koninkrijk afgegeven
In dit bericht uit januari 2021 werd de stand van zaken gegeven over data-export onder de Algemene Verordening Gegevensbescherming (AVG) in het algemeen.
In dit bericht wordt een update gegeven over:
1. De modelcontractbepalingen en
2. Doorgiften naar het Verenigd Koninkrijk.
Nieuwe modelcontractbepalingen
Eén van de manieren om persoonsgegevens – ondanks het in de AVG vastgelegde verbod - te delen met partijen buiten de Europese Economische Ruimte (EER)[1], is door een zogenaamd model contract (in het Engels: Standard Contractual Clauses of SSC’s) af te sluiten. Dit is een standaard contract dat door de Europese Commissie is opgesteld op basis waarvan persoonsgegevens op een geldige manier kunnen worden doorgegeven naar buiten de EER. De data exporteur en de data importeur doen daarin toezeggingen om te zorgen voor een passend beschermingsniveau voor de persoonsgegevens.
De modelcontracten waren al een tijdje verouderd, daarom publiceerde de Europese Commissie op 4 juni 2021 een nieuwe set SCC’s.
Wat is er anders?
De nieuwe SCC’s zijn opgebouwd uit modules die kunnen worden gebruikt voor vier verschillende situaties:
- Er worden persoonsgegevens gedeeld door een verantwoordelijke binnen de EER met een andere verantwoordelijke buiten de EER.
- Er worden persoonsgegevens gedeeld door een verantwoordelijke binnen de EER met diens verwerker buiten de EER.
- Er worden persoonsgegevens gedeeld door een verwerker binnen de EER met een diens sub-verwerker buiten de EER.
- Er worden persoonsgegevens gedeeld door een verwerker binnen de EER met een verantwoordelijke buiten de EER.
Afhankelijk van de situatie kan worden gekozen voor verschillende modules. Dit is een verbetering ten opzichte van de oude SCC’s, waar slechts in twee situaties werd voorzien.
Een andere vooruitgang is dat deze SCC’s ook gebruikt kunnen worden als verwerkersovereenkomst. Wanneer de partij buiten de EER (de data-importeur) dus een verwerker is hoeft er niet meer een afzonderlijke verwerkersovereenkomst te worden gesloten.
In de SCC’s zijn ook bepalingen opgenomen om tegemoet te komen aan de uitgangspunten die het Hof van Justitie stelde in het Schrems II arrest, namelijk dat er extra contractuele waarborgen worden opgenomen om de persoonsgegevens te beschermen. Er moet wel nog steeds van geval tot geval worden gekeken of er extra waarborgen nodig zijn.
Wat betekent dit voor de praktijk?
Voor de praktijk betekent dit dat bestaande SCC’s vervangen moeten worden door de nieuwe SCC’s.
Tot 27 september 2021 kunnen de oude SCC’s nog worden gebruikt. Maar SCC’s die voor 27 september 2021 worden afgesloten moeten op 31 december 2022 zijn vervangen door de nieuwe.
Het is daarom het meest praktisch om te zorgen dat de oude SCC’s voor 27 september 2021 worden vervangen door de nieuwe SCC’s.
Hoe zit het met het Verenigd Koninkrijk?
Sinds de Brexit op 31 december 2020 is het Verenigd Koninkrijk een land buiten de EER.
Op 28 juli 2021 heeft de Europese Commissie besloten dat het VK een adequaat beschermingsniveau heeft. Deze beslissing heeft een geldigheid van vier jaar dus tot 21 juli 2025.
Dit betekent dat persoonsgegevens de komende vier jaar blijvend mogen worden doorgegeven naar de VK zonder dat er extra maatregelen nodig zijn.
[1] De EER bestaat momenteel uit de landen van de EU, Liechtenstein, Noorwegen en IJsland
Reactie plaatsen
Reacties