Vorig jaar, op 4 juni 2021, publiceerde de Europese Commissie een nieuw modelcontract (in het Engels: ‘Standard Contractual Clauses’ of afgekort ‘SCCs’) voor de doorgifte van persoonsgegevens naar landen buiten de Europees Economische Ruimte (“EER”). De oude modelcontracten mochten vanaf 27 september 2021 niet meer gebruikt worden voor nieuwe doorgiften van persoonsgegevens. De vóór deze datum overeengekomen modelcontracten bleven wel geldig, maar niet onbeperkt. Vanaf 27 december aanstaande mag een internationale doorgifte niet meer gelegitimeerd worden met deze oude modelcontracten. In deze blog wordt toegelicht wat dit betekent voor uw organisatie.
Oude modelcontracten
In de Europese richtlijn die van toepassing was vóór de komst van de Algemene Verordening Gegevensbescherming (“AVG”) waren al regels opgenomen voor de doorgifte van persoonsgegevens naar een land buiten de EER. Op basis van deze richtlijn werden de oude modelcontracten opgesteld. Deze oude modelcontracten bleken in de praktijk echter de nodige uitdagingen te bieden. Bovendien sloten ze niet aan op de AVG. De Europese Commissie heeft daarom een nieuw modelcontract opgesteld en dat per 27 juni 2021 in werking is getreden. Het nieuwe modelcontract heeft praktische uitdagingen in het contracteren weggenomen en sluit vanzelfsprekend aan bij de AVG. In deze blog kunt u meer lezen over de internationale doorgifte en waarom u de modelcontracten kunt of zelfs moet gebruiken.
Wat gebeurt er op 27 december 2022?
In artikel 4 van het besluit van de Europese Commissie is een overgangsperiode opgenomen om dit nieuwe modelcontract in gebruik te nemen. Per 27 december dient voor iedere doorgifte is gebaseerd op een oud modelcontract, de nieuwe versie te zijn gesloten.
Concreet betekent dit dat, indien uw organisatie nu gebruik maakt van modelcontracten, beoordeeld moet worden of deze inmiddels vervangen zijn voor het nieuwe model. Is dit niet het geval, dan dient u dit zo snel mogelijk te doen.
Data transfer impact assessment
In het nieuwe modelcontract zijn ook nieuwe verplichtingen opgenomen. Eén van die verplichtingen is dat zowel de data exporteur (die onder de AVG valt) als de data importeur (buiten de EER of een internationale organisatie) moeten beoordelen of de data importeur haar verplichtingen in het modelcontract kan nakomen.[1] Dit wordt ook wel een data transfer impact assessment (“DTIA”) genoemd. Dit betekent dat het nationale recht dat van toepassing is op de verwerking van persoonsgegevens door de data importeur en handhaving door nationale autoriteiten in dat land, in kaart moeten worden gebracht. Vervolgens moet worden beoordeeld of er wetten dan wel gebruiken zijn die ervoor zorgen dat de data importeur de afspraken in het modelcontract niet kan naleven. Dit is bijvoorbeeld het geval wanneer de data importeur door een nationale wet verplicht kan worden alle persoonsgegevens te verstrekken aan een overheidsinstelling. Indien een dergelijke verplichting bestaat, dan moet worden beoordeeld of aanvullende maatregelen genomen kunnen worden om de persoonsgegevens alsnog te beschermen. Is dit niet mogelijk, dan kan het noodzakelijk zijn de doorgifte te staken. Dit is een vergaande beoordeling die de nodige inspanning van beide partijen vergt. De European Data Protection Board (“EDPB”) heeft aanbevelingen opgesteld voor het gebruik van het modelcontract en het uitvoeren van een DTIA. Deze zijn hier te vinden.
Handhaving
Of de Autoriteit Persoonsgegevens per 27 december aanstaande ook daadwerkelijk en gelijk zal handhaven op dit onderdeel is niet duidelijk. Het Europees Hof heeft in ieder geval in de zaak Schrems II geoordeeld dat toezichthoudende autoriteiten verplicht zijn doorgiftes op te schorten of te verbieden wanneer geen passend beschermingsniveau wordt gewaarborgd.
[1] Artikel 14 van het nieuwe modelcontract