Sinds de nieuwe Standard Contractual Clauses (SCC’s) zijn gepubliceerd door de Europese Commissie, is er één zin die nogal wat stof heeft doen opwaaien. In Overweging 7 staat namelijk:“De standaardcontractbepalingen mogen alleen voor dergelijke doorgiften worden gebruikt voor zover de verwerking door de importeur niet binnen de werkingssfeer van Verordening (EU) 2016/679 valt.”
Dit voelt meteen wat vreemd: als persoonsgegevens bijvoorbeeld in de Verenigde Staten (VS) worden verwerkt door Google, zouden er dan geen SCC’s hoeven te worden gesloten? Google biedt namelijk ook diensten aan in de Europese Unie, waardoor de Algemene verordening gegevensbescherming (AVG) op Google van toepassing is (dit even los van de Europese Google-vestigingen). De European Data Protection Board (EDPB) heeft daarom in november richtlijnen gepubliceerd over wat nou precies de verhouding is tussen de territoriale scope van de AVG en doorgifte naar buiten de Europese Economische Ruimte (EER). Hieronder lichten we deze richtlijnen toe.
De verhouding tussen artikel 3 en Hoofdstuk V
Als er sprake is van doorgifte van persoonsgegevens, is Hoofdstuk V van de AVG van toepassing. De AVG bevat evenwel geen definitie voor ‘doorgifte’. De EDPB geeft daarom een drietal criteria waaraan een doorgifte voor een bepaalde gegevensverwerking dient te voldoen:
- de verwerkingsverantwoordelijke of verwerker valt onder de AVG;
- deze verwerkingsverantwoordelijke of verwerker (de “exporteur”) verzendt deze persoonsgegevens naar, of maakt ze beschikbaar voor een andere of gezamenlijke verwerkingsverantwoordelijke, of verwerker (de “importeur”); en
- de importeur bevindt zich in een derde land (of is een internationale organisatie), ongeacht of de importeur zelf onder de AVG valt.
Dat laatste zinsdeel uit punt 3 lost het probleem uit Overweging 7 van de SCC’s eigenlijk al op: het maakt niet uit of de importeur zelf onder de AVG valt, zodra deze buiten de EER gevestigd is, moet aan Hoofdstuk V (doorgifte) worden voldaan. De EDPB merkt wel op dat het doorgiftemechanisme erop kan worden aangepast of de importeur wel of niet onder de AVG valt. Als deze wel onder de AVG valt, zal deze namelijk al beschermende maatregelen hebben genomen. Als dat niet zo is, zullen er mogelijk extra maatregelen moeten worden genomen.
Daarnaast licht de EDPB bij punt 2 toe dat er alleen sprake is van een doorgifte als er persoonsgegevens van de ene verwerkingsverantwoordelijke/verwerker door de andere verwerkingsverantwoordelijke/verwerker worden verwerkt. Verwerking door werknemers die op zakenreis naar India gaan, of vanwege corona vanuit een warm land willen werken, valt dus niet onder Hoofdstuk V. Hoewel dit dus geen doorgifte is, betekent dit niet dat dit zomaar veilig is. De werkgever kan alsnog concluderen dat er uitgebreide beveiligingsmaatregelen nodig zijn, of dat het helemaal niet wenselijk is om vanuit een bepaald niet-EER land te werken vanwege de risico’s in dat land. Dit bijvoorbeeld als er wetgeving van toepassing is die conflicteert met EU-wetgeving, als de overheid daar verregaande inzagemogelijkheden heeft (lees: de VS), of als het zeer lastig is om rechten uit te oefenen tegenover entiteiten buiten de EER.
Tot slot valt het op dat het ‘teruggeven’ van persoonsgegevens door een verwerker binnen de EER naar een verwerkingsverantwoordelijke buiten de EER ook een doorgifte is. De verwerker valt namelijk onder de AVG. Gelukkig is hier een specifieke set SCC’s voor.
De richtlijnen zijn nog niet definitief
De richtlijnen staan open voor consultatie. Dat betekent dat iedereen feedback mag geven tot 31 januari 2022. Daarna gaat de EDPB aan de slag met de ontvangen feedback om tot een definitieve versie te komen. De eindvisie van de EDPB moeten we dus nog even afwachten. We houden u uiteraard op de hoogte. Heeft u in de tussentijd vragen over privacy, doorgifte of de nieuwe SCC’s? Neem dan contact met ons op!
