Op 16 juli 2020 heeft het Europese Hof van Justitie (HvJ EU) in de Schrems II-zaak het zogenoemde ‘Privacy Shield’ nietig verklaard. Dit heeft tot gevolg dat het Privacy Shield niet langer gebruikt mag worden voor de doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Organisaties die persoonsgegevens doorgeven aan organisaties gevestigd in de VS moeten als gevolg hiervan aanvullende waarborgen treffen, indien zij BCR of een modelcontract gebruiken. Wat betekent dit voor uw organisatie? En heeft de Schrems II-uitspraak ook gevolg voor u indien u geen persoonsgegevens wisselt met de VS, maar wel met andere niet-Europese landen?

Achtergrond

Het doorgeven van persoonsgegevens buiten de Europees Economische Ruimte (EER) mag volgens de Algemene Verordening Gegevensbescherming (AVG) alleen indien het ontvangende land voldoende bescherming biedt. Binnen de EER is het beschermingsniveau gelijk. Er gelden daarom bijzondere regels voor doorgifte van persoonsgegevens aan organisaties en instanties gevestigd in derde landen naar zogenoemde ‘derde landen’. Deze doorgifte is dan ook alleen toegestaan indien het betreffende land een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens worden doorgegeven op basis van een adequaatheidsbesluit, binding corporate rules (BCR), passende waarborgen of specifieke uitzonderingen.

• Adequaatheidsbesluit

De Europese Commissie (EC) kan vaststellen dat het beschermingsniveau van een derde land vergelijkbaar is met dat van de landen waar de AVG van toepassing is via een adequaatheidsbesluit. Voor doorgifte van persoonsgegevens naar dat derde land hoeven organisaties dan geen aanvullende waarborgen te treffen. Het Privacy Shield tussen de EU en de VS was een voorbeeld van een adequaatheidsbesluit.

• BCR

Binding Corporate Rules (BCR) zijn ‘global privacy policies’ die gelden binnen een wereldwijd opererende organisatie voor doorgifte van persoonsgegevens naar derde landen, mits deze landen een gelijkwaardig beschermingsniveau kennen.

• Passende waarborgen

Indien geen sprake is van een adequaatheidsbeslissing is een andere passende waarborg noodzakelijk voor doorgifte van persoonsgegevens naar een derde land. Dit kan met ‘Standard Contractual Clauses’ (SCC’s). Een SCC is een modelcontract dat door de EC is vastgesteld om persoonsgegevens door te geven naar derde landen. Een SCC kan gebruikt worden mits het derde land een gelijkwaardig beschermingsniveau kent.

Naast SCC’s kunnen een goedgekeurde gedragscode of een certificeringsmechanisme als waarborg gelden voor een passend beschermingsniveau. Hiervoor stelt de AVG nog wel aanvullende voorwaarden.

• Specifieke uitzonderingen

Tenslotte is doorgifte naar derde landen mogelijk op basis van specifieke uitzonderingen, zoals uitdrukkelijke toestemming van betrokkenen of gewichtige redenen van algemeen belang. Op de website van de Autoriteit Persoonsgegevens (AP) leest u meer over specifieke uitzonderingen.

Schrems II

Voorafgaand aan Schrems II kon doorgifte van persoonsgegevens naar de VS op een veilige manier via het Privacy Shield. Met het Schrems II-arrest is het Privacy Shield ongeldig verklaard met als gevolg dat veel Europese organisaties geen rechtsgrond meer hebben voor het doorgeven van persoonsgegevens aan Amerikaanse organisaties.

Het HvJ EU constateerde dat de Amerikaanse wetgeving verschillende tekortkomingen kent die een belemmering vormen voor een veilige doorgifte van persoonsgegevens. Dit betekent dat het beschermingsniveau van de VS niet gelijkwaardig is aan de bescherming die de AVG biedt, waardoor de VS niet langer als adequaat land wordt aangemerkt. Organisaties binnen de EER zullen doorgifte van persoonsgegevens naar de VS daarom met andere passende waarborgen, zoals bijvoorbeeld SCC’s, moeten realiseren.

Daarnaast heeft het HvJ EU in Schrems II bepaald dat partijen bij het sluiten van een SCC de garantie bieden dat de wetgeving in het derde land er niet voor kan zorgen dat de gegevensimporteur (de verwerkingsverantwoordelijke) niet kan voldoen aan de SCC. De reden hiervoor is dat de huidige door de EC vastgestelde SCC’s uit 2001, 2004 en 2010 afkomstig zijn, dus ruim voordat de AVG (2018) van kracht werd. De huidige SCC’s blijven voorlopig nog wel geldig voor doorgifte van persoonsgegevens vanuit de EEC naar een derde land, maar partijen moeten nagaan: i) of het recht van het derde land bescherming biedt in overeenstemming met de AVG, ii) welke richtlijnen gelden, iii) of er aanvullende maatregelen getroffen zijn en iv) welke omstandigheden toepasselijk zijn op de doorgifte op grond van die SCC’s. Indien de gegevensimporteur verwacht toch niet aan de SCC te kunnen voldoen, dient  hij de gegevensexporteur hierover te informeren. Het gevolg hiervan is dat exporterende organisaties zich zullen moeten inspannen voor een adequate bescherming van de gegevens en uiteindelijk de bestaande SCC’s zullen moeten vervangen.

Nieuwe SCC’s

Gezien Schrems II zijn de huidige SCC’s dan ook niet meer geschikt. Op 12 november 2020 kondigde de EC publicatie van nieuwe SCC’s aan om de doorgifte van persoonsgegevens tussen landen in de EER en derde landen te vergemakkelijken. De nieuwe SCC’s bestaan dan ook uit vier modules. Partijen kunnen op deze wijze het document verfijnen door alleen de modules op te nemen die van toepassing zijn op hun situatie. Zo zijn de nieuwe SCC’s toepasbaar in meerdere situaties.

De geformuleerde modules sluiten tevens nauw aan bij de AVG, in die zin dat een aparte verwerkersovereenkomst niet meer nodig is. Ook moet verdere doorgifte, naar bijvoorbeeld een adequaat land, ook voldoen aan de AVG. Daarbij moeten beide partijen dus kunnen aantonen dat ze voldoen aan de SCC’s. De bepalingen kunnen ook geïntegreerd worden in bredere (commerciële) overeenkomsten.

De nieuwe SCC’s kunnen worden gebruikt in de volgende situaties:

• EU-verwerkingsverantwoordelijke naar niet-EU-verwerkingsverantwoordelijke
• Niet-EU-verwerkingsverantwoordelijke naar niet-EU-verwerkingsverantwoordelijke
• EU verwerker aan niet-EU-verwerkingsverantwoordelijke
• Niet-EU-verwerker naar EU-verwerker

Tenslotte zal per doorgifte een risicoanalyse gedaan moeten worden. Alleen het sluiten van een SCC is niet meer voldoende. Een zogenoemde Data Transfer Impact Assessment (DTIA) bevat een omschrijving van de diensten die de organisatie in een derde land aanbiedt. Verder moet uit een DTIA blijken welke passende waarborgen worden getroffen en welke maatregelen zijn genomen om persoonsgegevens te beschermen, naast de SCC’s.

Wat betekent dit voor uw organisatie?

SCC’s hoeven alleen gesloten worden voor verwerkingen waarop de AVG niet van toepassing is. Om huidige SCC’s te kunnen blijven gebruiken, is het voor organisaties van belang te inventariseren welke grensoverschrijdende overdracht van persoonsgegevens onder hun verantwoordelijkheid valt. Vervolgens dienen ze een risicoanalyse uit te voeren van het gegevensbeschermingsniveau van het ontvangende land. Uiterlijk 27 december 2022 moeten bestaande SCC’s die als doorgifte-instrument worden gebruikt, worden omgezet naar een van de varianten van de  nieuwe SCC’s.

Lumen Group kan ondersteunen bij het inventariseren en implementeren van SCC’s. Ook bij het uitvoeren van een DTIA kan Lumen Group ondersteunen. Neem vrijblijvend contact op via fg@lumengroup.nl of 030 889 65 75 om de mogelijkheden te bespreken.

---