Vanaf gisteren 27 juni 2021 kunnen ondernemingen gebruik maken van de langverwachte nieuwe standaardbepalingen van de Europese Commissie (“standard contractual clauses” of “SCC’s”) als passende waarborg om persoonsgegevens over te dragen naar landen buiten de Europese Economische Ruimte (EER). Daarnaast heeft het Europees Comité voor Gegevensbescherming (“European Data Protection Board” of “EDPB”) op 18 juni 2021 haar aanbevelingen geüpdatet over de bijkomende maatregelen die verwerkingsverantwoordelijken moeten nemen.

1. Recap

Persoonsgegevens kunnen enkel naar landen buiten de EER worden overgedragen indien zogenaamde ‘passende waarborgen’ geboden worden en de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Passende waarborgen kunnen erin bestaan gebruik te maken van standaardbepalingen (in het Engels “Standard Contractual Clauses” of SCC’s) inzake gegevensbescherming die zijn goedgekeurd door de Europese Commissie. In de praktijk zijn deze SCC’s het meest voor de hand liggende transfermechanisme wanneer er geen adequaatheidsbesluit bestaat voor het betrokken derde land. Dit is onder meer het geval voor datatransfers naar de VS sinds het EU-US Privacyshield ongeldig werd verklaard door het arrest Schrems II (lees hierover meer via deze link).

In november 2020 heeft de Europese Commissie vervolgens een ontwerp van nieuwe SCC’s gepubliceerd en heeft het Europees Comité voor Gegevensbescherming aanbevelingen aangenomen over de bijkomende maatregelen die genomen kunnen worden wanneer blijkt dat het wettelijk kader van het derde land geen gelijkwaardige bescherming biedt (lees hierover meer via deze link).

2. Nieuwe standaardbepalingen (SCC’s)

Op 7 juni 2021 werd de definitieve versie van de nieuwe SCC’s gepubliceerd in het Publicatieblad van de Europese Unie. Enerzijds bevatten de nieuwe SCC’s algemene bepalingen die zijn aangepast aan de taal van de GDPR en anderzijds bevatten de nieuwe SCC’s vier “modules” zodat er rekening wordt gehouden met verschillende doorgiftescenario’s:

• Module 1 betreft het scenario voor doorgiftes van verwerkingsverantwoordelijken naar verwerkingsverantwoordelijken;
• Module 2 betreft het scenario voor doorgiftes van verwerkingsverantwoordelijken naar verwerkers;
• Module 3 betreft het scenario voor doorgiftes van verwerkers naar verwerkers;
• Module 4 betreft het scenario voor doorgiftes van verwerkers naar verwerkingsverantwoordelijken.

Deze modules betekenen een grote vooruitgang ten opzichte van de oude SCC’s, die enkel de eerste twee situaties dekten. Met het oog op transparantie van de verwerking bevatten deze modules ook het recht van de betrokkenen om een kopie van de SCC’s te ontvangen.

Verder bevatten de nieuwe SCC’s drie bijlagen:

• Bijlage 1 en de zogenaamde docking-bepaling maken  het mogelijk om meerdere partijen tot de overeenkomst te laten toetreden, wat nuttig is voor intra-groep datatransfers;
• Bijlage 2 laat partijen toe om een lijst op te nemen van de technische en organisatorische maatregelen die zij hebben genomen om een passend beveiligingsniveau te waarborgen in de zin van het arrest Schrems II. De bijlage bevat bovendien enkele voorbeelden ter inspiratie (zoals pseudonimisering, fysieke beveiliging van locaties, identificatie en autorisatie van gebruikers…);
• Bijlage 3 maakt het mogelijk om een lijst op te nemen van subverwerkers (in te vullen bij module 2 en 3).

Tenslotte bevatten de nieuwe SCC’s ook zogenaamde Schrems II bepalingen met verplichtingen voor gegevensimporteurs in derde landen wanneer een overheidsinstantie toegang zou nemen tot Europese persoonsgegevens.

Qua timing treden de oude SCC’s pas buiten werking op 27 september 2021, waardoor u vanaf vandaag nog gedurende drie maanden de keuze heeft tussen de oude en de nieuwe SCC’s indien u nieuwe overeenkomsten aangaat. Voor bestaande overeenkomsten heeft u nog tijd tot 27 december 2022 om de oude SCC’s te vervangen door de nieuwe SCC’s, maar niets belet u om deze update vandaag al in orde te brengen.

3. Update aanbevelingen Europees Comité voor Gegevensbescherming

Ook wanneer ondernemingen de nieuwe SCC’s gebruiken, moeten zij als gevolg van het arrest Schrems II nog steeds nagaan of deze passende waarborgen wel doeltreffend zijn gelet op de privacywetgeving in het betrokken derde land (en bijkomende maatregelen nemen wanneer de passende waarborgen niet doeltreffend blijken). Het Europees Comité voor Gegevensbescherming heeft haar Aanbevelingen nr. 01/2020 in dit verband geüpdatet op 18 juni 2021 en geeft daarbij vooral extra toelichting om de analyse van de wetgeving in het derde land, de zogenaamde data transfer impact analyse,  in goede banen te leiden:

• In uw analyse moet u specifiek aandacht besteden aan alle relevante wetten die de voorwaarden bepalen om persoonsgegevens vrij te geven aan publieke autoriteiten of die publieke autoriteiten de bevoegdheid geven om zichzelf toegang te verschaffen tot persoonsgegevens (bv. wetgeving inzake strafrechtelijke handhaving, nationale veiligheid etc.);
• De verplichtingen of bevoegdheden die voortkomen uit deze wetgeving worden beschouwd afbreuk te doen aan de doeltreffendheid van de passende waarborgen en dus “problematisch” te zijn indien (i) ze de wezenlijke inhoud van de fundamentele rechten en vrijheden van het EU-Handvest van de grondrechten niet respecteren, of (ii) verder gaan dan wat noodzakelijk en evenredig is in een democratische samenleving ter waarborging van belangrijke doelstellingen van algemeen belang van de EU of van een lidstaat, zoals de nationale veiligheid, landsverdediging, de openbare veiligheid, de vervolging van strafbare feiten etc.;
• Uw analyse moet in eerste instantie gebaseerd zijn op de publiek beschikbare wetgeving, maar daarnaast moet u ook rekening houden met de praktijken in het derde land:
  • Indien de relevante wetgeving onvoldoende bescherming biedt of formeel wel voldoende bescherming biedt maar in de praktijk niet wordt toegepast, dan moet de datatransfer worden geschorst of moeten er bijkomende maatregelen worden genomen;
  • Indien de relevante wetgeving problematisch is, maar u geen reden heeft om te geloven dat de relevante wetgeving in de praktijk effectief wordt toegepast, dan mag u de datatransfer alsnog laten doorgaan zonder bijkomende maatregelen te nemen. De beslissing dat de wetgeving in de praktijk niet wordt toegepast, moet dan gedocumenteerd worden in een gedetailleerd rapport waarin u onder meer moet uiteenzetten hoe u tot die beoordeling bent gekomen (bv. door raadpleging van advocaten of andere consultants). Dit rapport moet worden goedgekeurd door de wettelijke vertegenwoordiger van de onderneming;
• De analyse van het wettelijk kader moet toegespitst zijn op de wetgeving en praktijken die relevant zijn voor de bescherming van uw specifieke datatransfer en het is dus niet de bedoeling om de volledige privacywetgeving van het derde land in algemene termen te analyseren;
• Uw analyse moet  alle mogelijke actoren in rekening nemen die deelnemen aan de datatransfer (verwerkingsverantwoordelijken, verwerkers en sub-verwerkers die data verwerken in het derde land);
• Het is de taak van de data importeur (d.w.z. de entiteit in het ontvangende land) om alle relevante bronnen en informatie te verstrekken aan de data exporteur. Deze bronnen en informatie moeten “relevant, objectief, betrouwbaar, controleerbaar en publiek toegankelijk” zijn;
• Het is mogelijk om de praktijkervaring van de data importeur met eerdere overheidsverzoeken tot toegang tot persoonsgegevens mee in overweging te nemen. De afwezigheid van eerdere verzoeken kan op zichzelf echter geen beslissende factor zijn om de datatransfer zonder bijkomende maatregelen te laten doorgaan;
• U moet uw analyse goed documenteren, aangezien de nationale toezichthoudende autoriteit (in België de Gegevensbeschermingsautoriteit of GBA) kan verzoeken om uw documentatie te tonen en uw onderneming verantwoordelijk kunnen houden voor de beslissingen die zij op basis van haar analyse heeft genomen;

Ten slotte benadrukt de EDPB dat de uitzonderingen in de zin van artikel 49 GDPR (o.a. doorgiftes die noodzakelijk zijn voor de uitvoering of met het oog op het sluiten van een overeenkomst, of die plaatsvinden op basis van de uitdrukkelijke toestemming van de betrokkene) enkel occasioneel kunnen worden toegepast en dus niet gebruikt kunnen worden om te ontsnappen aan de verplichting om een analyse van de wetgeving in het derde land te maken.

Actiepunt

Let erop dat u vanaf vandaag de nieuwe versie van de SCC’s gebruikt wanneer u een verwerkersovereenkomst sluit of wanneer u wijzigingen aanbrengt aan uw bestaande verwerkersovereenkomsten. Uiterlijk op 27 december 2022 moeten ook alle oude SCC’s in bestaande overeenkomsten vervangen worden.

Zorg er daarnaast voor dat u een goed gedocumenteerde data transfer impact analyse maakt van de wetgeving in het betrokken derde land en zo nodig bijkomende maatregelen neemt vooraleer u de gegevenstransfer via de SCC’s (of andere passende waarborgen) laat doorgaan. Voor deze analyse dient u rekening te houden met de geüpdatete aanbevelingen van de EDPB.

Het Claeys & Engels Data Protection team staat klaar om te helpen bij alle vragen over jullie transferbeleid!