Standard Contractual Clauses: wat en waarom?
Wat zijn Standard Contractual Clauses (SCC’s) en waarom zijn ze nuttig? SCC’s zijn in feite modelovereenkomsten voor gegevensoverdracht waarmee bedrijven gegevens kunnen overdragen naar landen buiten de EER.
De AVG heeft namelijk de doorgifte van persoonsgegevens buiten de EER, dus naar derde landen of internationale organisaties, aan strenge regels vastgelegd. Doorgiften mogen enkel plaatsvinden wanneer de verwerkingsverantwoordelijke en de verwerker specifieke voorwaarden naleven. Deze voorwaarden omvatten onder meer het implementeren van passende waarborgen.
Eén van deze passende waarborgen zijn volgens de AVG de standaardbepalingen inzake gegevensbescherming, beter gekend als Standard Contractual Clauses of SCC.
Nieuwe standaardbepalingen
Op 4 juni 2021 heeft de Europese Commissie twee reeksen nieuwe standaardbepalingen aangenomen, één voor gebruik tussen verwerkingsverantwoordelijken en verwerkers en één voor de overdracht van persoonsgegevens naar derde landen. Deze nieuwe contractbepalingen weerspiegelen de nieuwe vereisten inzake gegevensbescherming onder de AVG alsook de recente Schrems-II beslissing inzake data transfers naar de VS.
De belangrijkste nieuwigheden in deze nieuwe versies van standaardbepalingen zijn:
- Aangepast aan de AVG: het is op zich verwonderlijk dat het drie jaar duurde om de oude contracten aan te passen aan de nieuwe regelgeving.
- Meer flexibiliteit in het gebruik van de standaardcontracten. De nieuwe SCC’s zijn ontworpen om passende waarborgen te bieden voor de doorgifte van persoonsgegevens buiten Europa in vier mogelijke overdrachtscenario’s: (1) verwerkingsverantwoordelijke-naar-verwerkingsverantwoordelijke, (2) verwerkingsverantwoordelijke-naar-verwerker, (3) verwerker-naar-verwerkingsverantwoordelijke en (4) (sub)verwerker-naar-(sub)verwerker. De relevante verplichtingen voor elk van deze doorgiften zijn uiteengezet in afzonderlijke “modules” binnen bepaalde clausules van de nieuwe SCC’s. Deze geconsolideerde modulaire aanpak is een belangrijke update van de oude SCC’s, die twee afzonderlijke sets clausules voorzagen voor slechts twee overdrachtscenario’s.
- De oude SCC’s zijn overeenkomsten tussen 2 partijen – zonder de mogelijkheid voor extra partijen om zich rechtstreeks aan te sluiten. De nieuwe SCC’s bevatten een ‘Docking clausule” die extra partijen in staat zou stellen toe te treden tot de SCC’s gedurende de levenscyclus van het contract. Op grond van clausule 7 van de nieuwe SCC’s kan de nieuwe partij, “met instemming van de partijen”, te allen tijde toetreden tot de nieuwe SCC’s.
- De nieuwe SCC’s kunnen worden gebruikt door een gegevensexporteur die onderworpen is aan de AVG, ongeacht de locatie van de exporteur. Onder de oude SCC’s moest de data-exporteur gevestigd zijn in de EU, waardoor de contracten niet beschikbaar waren voor een data-exporteur gevestigd buiten de EU, maar nog wel (bijvoorbeeld) onderworpen aan de AVG op grond van artikel 3, lid 2 AVG. De nieuwe SCC’s bevatten geen uitdrukkelijke beperking met betrekking tot de locatie van de gegevensexporteur (zie artikel 1 van het uitvoeringsbesluit).
- Een toolbox met een overzicht van de verschillende stappen die je moet nemen om, bovenop de contractuele bepalingen, de internationale doorgifte in lijn te brengen met het Schrems II arrest. Hierbij is (nu definitieve) aanbeveling 01/2020 van de EDPB trouwens interessante lectuur.
Uitdagingen
Uiteraard zullen deze nieuwe SCC’s opnieuw voor uitdagingen zorgen. Zo dient een bedrijf of organisatie die transferts uitvoert op basis van de vorige versie van standaardbepalingen, de bestaande contracten bij te werken. De nieuwe SCC’s zijn in werking getreden op 27 juni 2021. Organisaties kunnen wel tot 27 september 2021 de oude SCC’s in nieuwe overeenkomsten blijven ondertekenen. Na 15 extra maanden (tot 27 december 2022) moeten de nieuwe SCC’s in bestaande overeenkomsten worden opgenomen.
Verduidelijking nodig
Naast de uitdagingen zijn er ongetwijfeld ook nog punten die verdere verduidelijking vragen. Zo discussiëren experten over de situaties waarbij de SCC’s wel of niet kunnen worden gebruikt. Volgende zin in overweging 7 van het uitvoeringsbesluit 2021/914 van de Commissie voedt deze discussie: “De standaardcontractbepalingen mogen alleen voor dergelijke doorgiften worden gebruikt voor zover de verwerking door de importeur niet binnen de werkingssfeer van Verordening (EU) 2016/679 valt”. Hierdoor is het onduidelijk of de SCC’s kunnen worden gebruikt in een situatie waarbij de gegevensimporteur niet is onderworpen aan de AVG. Dit vergt in sé nadere toelichting. Mogelijk zal de EDPB hierover nog richtlijnen publiceren.
Nood aan impact assessments
De nieuwe SCC’s staan niet op zichzelf. Bij een internationale doorgifte van persoonsgegevens zullen de partijen een ‘Transfer Impact Assessment’ (TIA) moeten uitvoeren. Hierbij moet rekening worden gehouden met de specifieke omstandigheden van het contract (duur, inhoud, type ontvanger, gebruikte communicatiekanalen), de wetgeving en de uitvoering daarvan in het derde land (die wetgeving moet gelijkwaardige garanties geven in vergelijking met het Europese recht) en, tot slot, alle technische en organisatorische maatregelen die de transfer omkaderen.
Wens je meer te weten over data transfers en TIA’s?
Dan is onze opleiding GDPR impact assessments: DPIA & DTIA iets voor jou.
Link naar SCC’s: klik hier.
Link naar EDPB: klik hier.