Een verwerker buiten de Europees Economische Ruimte? Denk aan de nieuwe Standard Contractual Clauses van de EC!
Maakt uw organisatie gebruik van een leverancier die persoonsgegevens verwerkt buiten de EER (Europees Economische ruimte), bijvoorbeeld in Azië, Afrika of Amerika? Weet dan dat u in gevolge de Algemene Verordening Gegevensbescherming (“AVG”) passende maatregelen moet nemen om de doorgifte naar die zogeheten ‘derde landen’ te beschermen. Een van de maatregelen die u kunt nemen is het sluiten van de Standard Contractual Clauses (“SCCs”). Gebruikt u de SCCs al? Weet dan dat deze op 4 juni 2021 zijn vernieuwd en u de oude moet vervangen.
Persoonsgegevens (laten) verwerken in een land buiten de EER
Maakt uw organisatie gebruik van een cloud provider? Of marketingsoftware van een derde partij? Grote kans dat deze partijen (doorgaans verwerkers) persoonsgegevens buiten de Nederlandse landsgrenzen verwerken. Indien de verwerking buiten de Europees Economische Ruimte (EER) plaatsvindt, is sprake van een doorgifte van persoonsgegevens aan een derde land. Voor deze internationale doorgifte moet een organisatie, bij gebrek aan een adequaatheidsbesluit, passende waarborgen bieden. Bovendien moeten betrokkenen over afdwingbare rechten en rechtsmiddelen beschikken in het derde land. Met andere woorden; ook persoonsgegevens die in een land buiten de EER worden verwerkt moeten een soortgelijke bescherming krijgen zoals vastgelegd in de AVG. Meer weten over het beschermingsniveau in het Verenigd Koninkrijk na de Brexit? Lees dan deze blog.
Standard Contractual Clauses
Eén manier om passende waarborgen te bieden is door gebruik van de standaard bepalingen van de Europese Commissie, ook wel de Standard Contractual Clauses (“SCCs”). De SCCs vormen een overeenkomst die tussen twee of meer partijen gesloten kan worden. Afgezien van een aantal keuzes die partijen moeten maken en de onderdelen die uitdrukkelijk open zijn gelaten om door partijen in te vullen, mogen de SCCs niet worden aangepast. Afgelopen 4 juni 2021 gepubliceerde de EC een nieuwe versie.
- van een verwerkingsverantwoordelijke in de EER naar een verwerker buiten de EER; en
- van een verwerkingsverantwoordelijke in de EER naar een verwerkingsverantwoordelijke buiten de EER.
undefined
De nieuwe SCCs zijn gebaseerd op de AVG en beter afgestemd op de verschillende rollen die betrokken partijen kunnen hebben. De nieuwe SCCs bevatten namelijk verschillende modules. Afhankelijk van de rollen van de gegevensexporteur en de gegevensimporteur, dient een module gekozen te worden. Denk aan de doorgifte van een verwerker in de EER naar een verwerkingsverantwoordelijke buiten de EER of de doorgifte van een (sub)verwerker in de EER naar een (sub)verwerker buiten de EER.
Let op dat de SCCs niet gebruikt mogen worden voor de doorgifte van persoonsgegevens naar een organisatie in een land buiten de EER die wel onder de werkingssfeer van de AVG valt. Dit is bijvoorbeeld het geval indien de organisatie, gevestigd buiten de EER, diensten en/of producten aanbiedt aan betrokkenen in de EER. De European Data Protection Board heeft het voornemen uitgesproken om binnenkort een specifieke set SCCs op te stellen voor deze situatie.
Kunt u de oude SCCs blijven gebruiken?
Kort en goed luidt het antwoord ‘nee’. De oude SCCs zijn op 27 september 2021 ingetrokken en kunnen vanaf die datum niet meer worden gebruikt. De SCCs (de oude versies) gesloten vóór 27 september blijven wel tot maximaal 15 maanden daarna geldig. Uiterlijk 27 december 2022 moeten deze oude SCCs vervangen worden door de nieuwe SCCs.
Transfer impact assessment
Naast de verschillende modules in de SCCs zijn er meer wijzigingen ten opzichte van de oude versies. Een belangrijke nieuwe verplichting die het nodige werk met zich brengt, is namelijk dat partijen garanderen dat zij geen reden hebben om aan te nemen dat de gegevensimporteur door nationale wet- en regelgeving verhinderd wordt om aan de SCCs te voldoen. De aanleiding hiertoe is de recente uitspraak ‘Schrems II’ van het Hof van Justitie van de Europese Unie geweest. Lees hier meer over Schrems II.
Wanneer u de SCCs gebruikt voor een doorgifte moet u dus voldoende informatie ontvangen van de gegevensimporteur om te kunnen beoordelen of deze zich aan de SCCs kan houden. Indien dit niet het geval is moeten partijen aanvullende maatregelen nemen óf de doorgifte in het geheel staken.
Andere mogelijkheden?
Uiteraard zijn de SCCs niet de enige mogelijkheid om aan de AVG te voldoen. Andere voorbeelden van passende maatregelen zijn binding corporate rules, een gedragscode of een certificeringsmechanisme. Daarnaast zijn er nog specifieke situaties waarin een doorgifte is toegestaan zonder passende maatregel, bijvoorbeeld indien uitdrukkelijke toestemming van de betrokkene is verkregen en wanneer de doorgifte (strikt) noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene (art. 49 AVG).
Vragen over de SCCs en het gebruik daarvan? Neem contact op met Emiel de Joode.