De afgelopen tijd stonden de Standard Contractual Clauses (SCC's) van de Europese Commissie vaak in het middelpunt van de belangstelling. Met name doordat onlangs in de Schrems II zaak niet alleen het Privacy Shield ongeldig verklaard is, maar tevens bepaald werd dat alleen het tekenen van de SCC’s niet voldoende is om een passend beschermingsniveau te bieden voor de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). Nu heeft de Europese Commissie op 12 november 2020 een conceptversie voor nieuwe SCC’s gepubliceerd. Wat houden deze nieuwe SCC’s in?
Standard Contractual Clauses
Wilt u persoonsgegevens verstrekken aan partijen die zich buiten de EER bevinden, ook wel derde landen genoemd, dan kan dit in beginsel alleen wanneer het betreffende land een passend beschermingsniveau waarborgt. Is er geen sprake van een passend beschermingsniveau? Dan kunt u persoonsgegevens in principe enkel doorgeven naar derde landen, wanneer u passende waarborgen treft om ervoor te zorgen dat het beschermingsniveau toch overeenkomt met het niveau binnen de EER.
Een middel om deze passende waarborgen te treffen zijn de SCC’s (ook wel modelclausules genoemd). Met de SCC’s worden de passende waarborgen voor de verwerking buiten de EER contractueel vastgelegd. Het probleem is dat de huidige sets standaardbepalingen een aantal beperkingen kennen. Vandaar dat de Europese Commissie nu met een conceptversie voor nieuwe SCC’s komt, die niet alleen deze beperkingen weg moeten nemen, maar ook het in de Schrems II zaak bepaalde moeten adresseren.
Concept nieuwe SCC’s
In de nieuwe SCC’s is een groot deel van de beginselen overgenomen, zoals deze zijn opgenomen in de huidige SCC’s. Er zijn echter ook een aantal aanvullingen en aanpassingen gedaan, om in te spelen op nieuwe ontwikkelingen. Hieronder worden de belangrijkste veranderingen kort toegelicht.
Inschakelen van subverwerkers
Een van de grootste beperkingen van de SCC’s is dat deze niet gebruikt kunnen worden voor de doorgifte van persoonsgegevens door verwerkers binnen de EER naar (sub)verwerkers buiten de EER. Door de jaren heen is de verwerkingsketting steeds complexer geworden. Het is niet meer zo dat een verwerkingsverantwoordelijke een verwerker inschakelt en daar de ketting ophoudt. Ook de verwerker schakelt vaak weer (verschillende) (sub)verwerkers in. Een vernieuwing op dit vlak van de huidige SCC’s was dus broodnodig. De nieuwe SCC’s pakken dit probleem aan, doordat zij verschillende standaardbepalingen bieden. Hieruit kan gekozen worden op basis van de relatie tussen de partijen. Zo kunnen de nieuwe SCC’s niet alleen gebruikt worden voor de doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke, maar ook voor de doorgifte van verwerkingsverantwoordelijke naar verwerker en andersom en van verwerker naar (sub)verwerker.
Documenteren van risicoanalyse
Bovendien spelen de nieuwe SCC’s in op het in de Schrems II zaak bepaalde. In de nieuwe SCC’s is opgenomen dat de partij binnen de EER, die persoonsgegevens gaat doorgeven naar een partij buiten de EER, een risicoanalyse van de doorgifte naar deze partij moet documenteren en deze moet kunnen voorleggen aan de toezichthoudende autoriteit als deze hierom vraagt.
Verzoek tot inzage
Daarnaast dient de ontvangende partij, wanneer deze een verzoek krijgt van publieke organen (zoals de Amerikaanse inlichtingen- en veiligheidsdiensten) om inzage in de verwerkte persoonsgegevens, niet alleen de doorgevende partij, maar ook de betrokkenen hierover te informeren. Inzage mag bovendien niet zomaar gegeven worden: er dient eerst gecontroleerd te worden of het publieke orgaan op basis van de wet wel echt de bevoegdheid heeft om de gegevens in te zien. Is dit het geval, dan dienen enkel die persoonsgegevens verschaft te worden, die noodzakelijk zijn. Ontvangen verzoeken, informatie met betrekking tot deze verzoeken en de stappen die de ontvangende partij in het kader hiervan heeft genomen, dienen schriftelijk gedocumenteerd aan de doorgevende partij voorgelegd te worden.
Overige veranderingen
Naast de hierboven genoemde aanpassingen in de SCC’s bevatten de nieuwe SCC’s nog een aantal andere veranderingen ten opzichte van de huidige SCC’s. Het concept voor de nieuwe SCC’s is te lezen op de website van de Europese Commissie.
Wat betekent dit voor uw organisatie?
Maakt uw organisatie gebruik van de huidige SCC’s? Dan zal u binnen het hiervoor door de Europese Commissie aangewezen jaar de huidige SCC’s moeten vervangen door de nieuwe. In de tussentijd kan de doorgifte van persoonsgegevens naar partijen, waarmee al SCC’s gesloten zijn, plaats blijven vinden op basis van deze SCC’s.
