De Europese Commissie heeft een consultatie geopend voor een ontwerp van nieuwe modelcontracten, ook wel standaardcontractsbepalingen of SCC’s genoemd. De modelcontracten zijn bedoeld voor het beschermen van persoonsgegevens bij doorgifte aan landen buiten de Europese Unie (derde landen). De nieuwe modelcontracten moeten het beschermingsniveau verbeteren.
Doorgifte aan derde landen
Bij doorgifte van persoonsgegevens aan derde landen moeten de eisen uit de Algemene Verordening Gegevensbescherming (AVG) gewaarborgd worden. Dit kan met een adequaatheidsbesluit. Daarin wordt bepaald dat gegevens kunnen worden overgedragen aan het betreffende land, omdat het een passend beschermingsniveau biedt. Wanneer zo’n besluit ontbreekt moeten er op een andere manier passende waarborgen geboden worden, bijvoorbeeld door middel van modelcontracten.
Huidige modelcontracten
Momenteel zijn er drie modelcontracten waar bij doorgifte van gegevens aan derde landen gebruik van kan worden gemaakt. Twee van deze contracten zien op doorgifte van een verwerkingsverantwoordelijke binnen de EU naar een verwerkingsverantwoordelijke uit een derde land. Het derde modelcontract is gericht op doorgifte van een verwerkingsverantwoordelijke binnen de EU naar een verwerker uit een derde land.
Ontwerp modelcontract
In de nieuwe versie die de Commissie heeft voorgesteld, worden meerdere manieren van doorgifte benoemd. Naast de huidige twee opties worden er ook regels gesteld voor doorgifte tussen twee verwerkers of doorgifte van een verwerker naar een verwerkingsverantwoordelijke. Daarnaast worden in de nieuwe versie extra waarborgen gesteld voor het beschermen van de doorgegeven persoonsgegevens. Bijvoorbeeld strengere eisen voor transparantie van verplichtingen en versterkte rechten voor de personen van wie de gegevens worden verwerkt. Bovendien moet de verstrekker van gegevens nagaan of het derde land een adequaat beschermingsniveau biedt dat in overeenstemming is met de AVG. Deze verplichting vloeit oorspronkelijk voort uit de Schrems II-uitspraak van het Europees Hof waar Kenniscentrum Europa decentraal eerder dit EUrrest over heeft geschreven.
Feedback
Het ontwerpbesluit van de Commissie staat nog tot 10 december open voor feedback. De feedback kan hier op de website van de Commissie gegeven worden. Een vernieuwde versie van het modelcontract wordt vermoedelijk begin 2021 aangenomen.
Aanbevelingen voor doorgifte
Naar aanleiding van de eerder genoemde Schrems II-uitspraak heeft het European Data Protection Board (EDPB) aanbevelingen opgesteld om hulp te bieden bij doorgifte van persoonsgegevens naar derde landen. Uit de uitspraak blijkt dat verwerkingsverantwoordelijken en verwerkers verplicht zijn om na te gaan of het derde land een toereikend beschermingsniveau biedt. Is dit niet het geval, dan zullen bij de doorgifte aanvullende maatregelen genomen moeten worden ter bescherming van de gegevens. Met de aanbevelingen wil het EDPB de verwerkingsverantwoordelijken en verwerkers helpen bij het nemen van de aanvullende maatregelen.
De aanbevelingen zijn opgenomen in twee documenten. In het eerste document worden hulpmiddelen genoemd voor het garanderen van een beschermingsniveau dat gelijk staat aan het niveau dat de Europese Unie hanteert. Voorbeelden hiervan zijn encryptie en pseudonimisering. In het tweede document worden waarborgen gesteld die gelden voor toezichtmaatregelen. De aanbevelingen staan nog tot 21 december 2020 open voor commentaar in een publieke consultatie op deze website. Na de consultatie worden de definitieve aanbevelingen vastgesteld.
Bron
Commission implementing decision on standard contractual clauses for the transfer of personal data to third countries, Europese Commissie
Meer informatie
Privacy: Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Gegevensuitwisseling met derde landen, Kenniscentrum Europa Decentraal
Doorgifte binnen en buiten de EU, Autoriteit Persoonsgegevens
Aanbevelingen EDPB voor doorgifte persoonsgegevens na Schrems II-uitspraak, Autoriteit Persoonsgegevens
EDPB adopts recommendations on supplementary measures following Schrems II, European Data Protection Board
