30 jun '21
De Europese Commissie heeft op 4 juni 2021 nieuwe Standard Contractual Clauses (hierna afgekort tot SCC’s) aangenomen. In dit blog zullen we kort bespreken waarom de Europese Commissie nieuwe SCC’s heeft aangenomen, wat er is veranderd ten opzichte van de voorgaande versie van de SCC’s en – voor u het meest belangrijk – wat u of uw bedrijf nu het beste kan doen naar aanleiding van het aannemen van deze SCC’s.
Om het belang van deze nieuwe SCC’s goed te begrijpen is het goed om kort stil te staan bij de functie van de SCC’s in het algemeen. De SCC’s vormen een modelcontract dat kan worden gebruikt om de waarborgen te bieden die hoofdstuk 5 van de Algemene Verordening Gegevensbescherming (AVG) vereist voor het doorgeven van gegevens vanuit de EER naar landen buiten de Europese Economische Ruimte (EER). Persoonsgegevens mogen onder de AVG niet zomaar naar landen buiten de EER (ook wel: derde landen) worden doorgegeven. Gegevens mogen enkel worden doorgegeven wanneer gewaarborgd is dat de gegevens ook in het derde land voldoende beschermd worden. Dit is bijvoorbeeld het geval wanneer de Europese Commissie een adequaatheidsbesluit uitvaardigt ten behoeve van dat derde land (zie voor meer informatie in dit kader ook ons blog over Brexit en de AVG). Wanneer er geen adequaatheidsbesluit bestaat ten aanzien van het derde land waaraan de gegevens worden doorgegeven, kunnen (onder meer) middels de SCC’s afspraken worden gemaakt met de partij die de persoonsgegevens ontvangt. Dat kan een andere ‘verwerkingsverantwoordelijke’ of een ‘verwerker’ (zoals bijvoorbeeld een softwareleverancier) zijn. Deze afspraken moeten ervoor zorgen dat de vertrouwelijkheid, integriteit en beschikbaarheid van die gegevens voldoende wordt beschermd.
De oude SCC’s, die al een behoorlijke tijd meegingen, waren aan vervanging toe In de Schrems II uitspraak van het Europese Hof van Justitie kwam ook naar voren dat niet alleen goede afspraken moeten worden gemaakt tussen de gegevensexporteur en -importeur, maar ook dat beoordeeld moet worden of deze afspraken de gewenste uitwerking zullen hebben in het licht van de wetgeving in het land waar de gegevens naartoe worden gestuurd. Veelal zijn dan nog aanvullende maatregelen vereist, wat in de nieuwe SCC’s duidelijker naar voren is gebracht. Hierover heeft de EDPB inmiddels ook richtlijnen gepubliceerd.
De nieuwe SCC’s omvatten een aantal nieuwe bepalingen die met name zijn toegevoegd naar aanleiding van de Schrems II uitspraak. Maar niet alleen qua inhoud zijn er wijzigingen doorgevoerd, ook de vorm van de SCC’s is gewijzigd.
Anders dan voorheen is er nu één set SCC’s met daarin de bepalingen voor alle varianten van doorgiften (verwerkingsverantwoordelijke-verwerker, verwerkingsverantwoordelijke-verwerkingsverantwoordelijke, verwerker-verwerkingsverantwoordelijke en verwerker-verwerker), waar er voorheen voor verschillende varianten een eigen set SCC’s bestond – en voor bijvoorbeeld de relatie verwerker-subverwerker geen officieel modelcontract bestond.
Er zijn ook nieuwe bepalingen in dit modelcontract opgenomen. Zo is een bepaling opgenomen die verplicht tot het doen van een Data Transfer Impact Assessment (DTIA). Daarnaast zijn er bepalingen toegevoegd die zien op de toegang tot persoonsgegevens door autoriteiten. Zo moeten gegevensimporteurs zowel de exporteur als betrokkenen informeren ingeval van een verzoek tot inzage door de autoriteiten, moet de importeur de legaliteit van het inzageverzoek onderzoeken (en verplicht ageren tegen dat verzoek indien daartoe grond bestaat) en ingeval aan een verzoek gehoor dient te worden gegeven dienen enkel de minimale verplichte gegevens te worden getoond.
Hiermee hebben wij een aantal bepalingen uitgelicht, maar niet alle veranderingen besproken. Het is goed om de relevante bepalingen voor uw specifieke verwerkingsrelatie door te nemen.
De nieuwe SCC’s zijn nu dus aangenomen en gepubliceerd door de Europese Commissie. Deze kunnen nu worden gebruikt. Tot 27 september 2021 geldt een overgangsperiode en kunnen ook de oude SCC’s nog worden gesloten. Vanaf 27 september 2021 hebben partijen die de oude SCC’s gebruiken 15 maanden de tijd om deze nieuwe SCC’s te sluiten die de oude vervangen. Let wel, hierbij geldt dat de verwerkingsactiviteiten niet mogen veranderen en (ook bij gebruik van de oude SCC’s) is het nodig dat dit gebruik van SCC’s toereikende waarborgen ter bescherming van de privacy van betrokkenen biedt.
Omdat in HvJ Schrems II bepaald is dat die oude SCC’s onvoldoende waarborgen bieden, is het wel raadzaam om zo snel mogelijk over te stappen en nieuwe afspraken te maken als data importeur of exporteur.
Wilt u weten welke bepalingen u precies moet gebruiken? Wilt u weten wat de nieuwe bepalingen voor u in de praktijk betekenen? Of heeft u andere vragen met betrekking tot het doorgeven van persoonsgegevens? Neem contact met ons op en wij helpen u graag verder!
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.