Sinds de publicatie door de Europese Commissie van de nieuwe Standard Contractual Clauses (SCC’s, vaak ook Model Clauses genoemd) is dit een hot topic onder onze GDPR-experts. En als ondernemer word je wellicht geconfronteerd met “updates” van je leveranciers, en met vragen van je klanten.
We nemen hieronder alvast een kijkje welke praktische gevolgen dit heeft voor organisaties die persoonsgegevens verzenden naar een partij buiten de Europese Economische Ruimte. Landen buiten de EER noemen we in deze context ook wel derde landen.
De impact is in elk geval groot voor organisaties die beroep doen op leveranciers waarvan het moederbedrijf zich buiten de EER bevindt. Of voor organisaties die persoonsgegevens binnen een groepsverband doorgeven, en waarbij de dochter- of moedermaatschappijen zijn gevestigd buiten de EER. In beide gevallen zal het immers om verwerkers/subverwerkers gaan.
Even terugspoelen
Exit Privacy Shield
Sinds het arrest Schrems II heerst er grote onzekerheid over de doorgifte van gegevens buiten de EER, met name de VS. Met dit arrest besliste het Hof van Justitie immers dat het besluit van de EU-Commissie over de gepastheid van het “Privacy Shield” ongeldig is. Het EU-VS Privacy Shield verschafte, net zoals haar voorloper, een vrijgeleide aan Europese bedrijven om persoonsgegevens van haar Europese datasubjecten over te dragen aan Amerikaanse ondernemingen. Voorwaarde was wel dat deze laatsten gecertificeerd waren met het zogenaamde Privacy Shield-“certificaat”.
En wat met de SCC’s?
Tegelijkertijd heeft het Hof van Justitie zich echter ook uitgesproken over de bruikbaarheid van de SCC’s. SCC’s werden vaak door organisaties gebruikt om hun doorgifte naar landen buiten de EER te beveiligen en werden verondersteld de doorgifte als een “passende waarborg” toe te staan.
Reeds in de nasleep van Schrems II heeft de EDPB in juni 2021 een aanbeveling opgesteld over maatregelen die de doorgifte-instrumenten aanvullen om ervoor te zorgen dat het EU-niveau voor de bescherming van persoonsgegevens wordt nageleefd. Daarnaast is in mei 2021 een gezamenlijk EDPB/EDPS-advies 2/2021 over het uitvoeringsbesluit van de Europese Commissie inzake modelcontractbepalingen gepubliceerd.
In beginsel, maar vooral met betrekking tot doorgiften naar de VS, zouden de SCC’s niet langer een dergelijke “passende waarborg” op zich mogen vormen. In plaats daarvan zou de dataexporter in elk afzonderlijk geval moeten nagaan:
- of het recht van het derde land overeenkomstig het Europees recht een passende bescherming van de op basis van de SCC’s doorgegeven persoonsgegevens waarborgt en
- of de data importeur buiten de EER zo nodig meer waarborgen biedt dan die welke door deze SCC’s worden geboden.
Wanneer moet ik de nieuwe SCC’s aangaan?
Op het moment dat je organisatie persoonsgegevens doorgeeft aan een derde partij die gevestigd is buiten de EER, of als uw organisatie verbonden ondernemingen heeft buiten de EER, ben je verplicht de nieuwe SCC’s te gebruiken.
Als je op dit ogenblik werkt met de oude SCC’s, dan moeten zij uiterlijk op 27 december 2022 door de nieuwe SCC’s zijn vervangen.
Verplichting Transfer Impact Assessment (TIA)
In het Schrems II arrest vereist het Hof van Justitie dat er een beoordeling van het concrete geval moet worden uitgevoerd. Hierin moet dan worden bepaald of het alleen door middel van aanvullende maatregelen (voldoende) mogelijk is de bescherming van de gegevens te waarborgen.
Bij deze “beoordeling” moet niet enkel rekening worden gehouden met de wetgeving van het derde land, maar worden ook andere elementen in aanmerking genomen. Hiertoe behoren onder meer de waarschijnlijkheid van het risico dat een derde partij toegang krijgt tot de gegevens, het soort verwerkte gegevens en de doeleinden ervan. Dit moet vervolgens toelaten de ernst van het mogelijke risico te bepalen. En in functie van het risico, moeten dan aanvullende maatregelen genomen worden.
De nieuwe SCC’s hebben de vereiste van dergelijke beoordeling geïncorporeerd. Volgens de nieuwe SCC’s moeten de partijen dus een uitgebreide TIA uitvoeren, waarin consequent rekening wordt gehouden met bovenstaande overwegingen.
En na het uitvoeren van een TIA?
Volgens de EDPB kan een TIA slechts tot twee resultaten leiden:
- ofwel bestaat er een passend beschermingsniveau en is doorgifte van gegevens mogelijk;
- ofwel is er geen passend beschermingsniveau. Strikt gezien zou de doorgifte van de persoonsgegevens in dit geval moeten worden stopgezet, ofwel moeten partijen doeltreffende aanvullende maatregelen nemen zoals de EDPB het beschrijft in haar aanbeveling.
Praktische problemen uitvoeren TIA
Het uitvoeren van een TIA betekent dat de data exporteur (vaak de Verwerkingsverantwoordelijke) wordt gedwongen een beoordeling te maken van een buitenlandse rechtssituatie, met inbegrip van de wetgeving, huidige rechtspraktijk en de rechtsleer.
Dit betekent dat de loutere contractuele garantie door middel van de SCC’s in feite geen waarde zou hebben, aangezien de data exporteur daar bovenop een volledige, alomvattende beoordeling moet uitvoeren. Dergelijk lokaal onderzoek kan echter in het geheel niet door kmo’s worden uitgevoerd, maar is alleen haalbaar tegen aanzienlijke kosten voor grote ondernemingen.
We stellen vast dat Toezichthoudende Autoriteiten (zoals de Duitse toezichthouder) zelf niet in staat zijn de buitenlandse jurisdicties met inbegrip van hun praktijken te beoordelen en daartoe dus juridisch advies van derden moeten inwinnen. Zij kunnen zelfs in hun dagelijkse werkzaamheden deze beoordeling niet uitvoeren.
Met andere woorden, de vereiste TIA, die bijna uitsluitend is afgestemd op de wetgeving en de jurisdictie van het derde land, kan onmogelijk door de Toezichthoudende Autoriteiten inhoudelijk worden afgetoetst.
Conclusie
Het blijft niet makkelijk om te voldoen aan de vereisten uit de GDPR en vooral de extra (nieuwe) verplichtingen voor data transfer. De EDPB legt de dataexporter in het kader van de TIA dus enerzijds een uitgebreid onderzoek van de juridische situatie en de rechtspraktijk van het derde land op. Anderzijds is dit een onderzoek dat een Toezichthoudende Autoriteit zelf niet eens kan uitvoeren.
We stellen ons dan ook de vraag hoe de Toezichthoudende Autoriteiten dit zullen handhaven. Momenteel is dit een vraag die onbeantwoord blijft. Door de toegenomen aandacht voor de SCC’s en het privacy-activisme verwachten we hierover echter wel duidelijkheid in het komende jaar.
Wat vaststaat is dat een ondernemer best stilstaat bij een internationale doorgifte van gegevens, en alle beslissing hierover ernstig afweegt en documenteert. Bij vragen hierover kan u ons steeds contacteren via hallo@dejuristen.be.
Geschreven door Duygu Öztürk, CIPP/E, Privacy Chair deJuristen, en Kris Seyen, Partner deJuristen