Deze zomer zijn er – zo ongeveer een jaar na de welbekende Schrems II uitspraak van het Hof van Justitie van de Europese Unie (Hof) – weer wat relevante ontwikkelingen geweest op het gebied van internationale doorgiften van persoonsgegevens.(1) Zo heeft de Europese Commissie (EC) op 4 juni 2021 haar finale nieuwe modelcontracten gepubliceerd.(2) Daarnaast heeft de European Data Protection Board (EDPB) op 18 juni 2021 haar definitieve aanbevelingen gepubliceerd over de doorgiften van persoonsgegevens na Schrems II.(3) Tot slot heeft de EC op 28 juni 2021 ook een adequaatheidsbesluit genomen ten aanzien van het Verenigd Koningrijk. In deze bijdrage ga ik kort in op de verschenen finale nieuwe modelcontracten. In een latere bijdrage zal ik ook ingaan op definitieve aanbevelingen van de EDPB en het adequaatheidsbesluit ten aanzien van het Verenigd Koningrijk.(4)
Op 4 juli 2021 heeft de EC twee modelcontracten vastgesteld voor de verwerking en internationale doorgifte van persoonsgegevens in overeenstemming met de AVG:
Modelcontracten die passende waarborgen bieden voor de doorgiften van persoonsgegevens naar buiten de Europese Economische Ruimte (EER), zogenaamde derden landen, ten aanzien waarvan de EC geen adequaatheidsbesluit heeft genomen (hierna: de Modelcontracten)(5); en
Modelcontracten voor de bescherming van persoonsgegevens in het kader van de relatie tussen de verwerkingsverantwoordelijke en de verwerker (gevestigd zowel binnen als buiten de EER) (hierna: de Model Verwerkersovereenkomst).(6)
Met de Modelcontracten en de Model Verwerkersovereenkomst wordt beoogd bedrijven alle contractuele instrumenten te bieden die zij nodig hebben bij het verwerken van persoonsgegevens. In deze bijdrage ga ik enkel in op de Modelcontracten voor internationale datadoorgiften. De Model Verwerkersovereenkomst valt daarmee buiten het bestek van deze bijdrage.
Er zijn verschillende redenen waarom nieuwe Modelcontracten nodig waren. Ten eerste waren de vorige modelcontracten verouderd. Zij waren opgesteld na de in 1998 ingevoerde gegevensbeschermingsrichtlijn, en waren bijvoorbeeld nog niet aangepast op de AVG. Ten tweede zijn grensoverschrijdende gegevensverwerking en -doorgiften steeds complexer geworden sinds de oorspronkelijke modelcontracten werden opgesteld. De toename van het volume, de snelheid en de verscheidenheid van gegevensoverdrachten was destijds niet voorzien. Tenslotte maakte ook de Schrems II uitspraak aanpassing van de Modelcontracten noodzakelijk. In de Schrems II uitspraak wees het Hof immers op de noodzaak van aanvullende waarborgen en analyses bij grensoverschrijdende gegevensoverdrachten. Deze punten zijn in de nieuwe Modelcontracten duidelijk geadresseerd. Hieronder zullen wij allereerst de inhoud en structuur van de nieuwe Modelcontracten bespreken. Daarnaast geven wij antwoord op een veel gestelde vraag: “is het gebruik van de nieuwe Modelcontracten voldoende om aan de Schrems II uitspraak te voldoen?”
De nieuwe Modelcontracten bevatten belangrijke wijzigingen waarmee wordt getracht scenario's aan te pakken die voorheen niet onder de Modelcontracten werden gevangen.
Modulair
De nieuwe Modelcontracten hebben een modulaire opbouw. De Modelcontracten zijn als één contract geschreven, bestaande uit drie soorten bepalingen: (i) vaste clausules, die bedoeld zijn om ongewijzigd te blijven, ongeacht de partijen; (ii) modules, die bedoeld zijn om aan het definitieve contract te worden toegevoegd/verwijderd, afhankelijk van de partijen (zoals hieronder verder beschreven); en (iii) blanco clausules en bijlagen, die door de partijen moeten worden ingevuld en aangevuld met relevante informatie (eveneens hieronder verder beschreven). Met andere woorden, slechts een deel van de modelcontractbepalingen zijn op alle dataoverdrachten van toepassing. Bij de overige modelcontractbepalingen kan gekozen worden voor de van toepassing zijnde module:
Module 1: doorgifte tussen twee verwerkingsverantwoordelijken;
Module 2: doorgifte van een verwerkingsverantwoordelijke naar een verwerker;
Module 3: doorgifte tussen twee verwerkers; en
Module 4: doorgifte van een verwerker naar een verwerkingsverantwoordelijke.
In dit opzicht zijn de nieuwe Modelcontracten een enorme verbetering voor de praktijk ten opzichte van hun voorgangers, die geen rekening hielden met doorgiften tussen twee verwerkers en doorgiftes van een verwerker naar een verwerkingsverantwoordelijke. Naast deze modules kennen de nieuwe Modelcontracten drie bijlagen, waarin specifiek op de verwerking betrekking hebbende informatie moet worden ingevuld:
Bijlage 1: Beschrijving van de doorgiften
Deze bijlage bevat een beschrijving van de partijen, een beschrijving van de doorgiften, en een beschrijving van de bevoegde toezichthoudende autoriteit. Opvallend is de eis dat, wanneer de gegevensimporteur gegevens aan subverwerkers doorgeeft, ook het voorwerp, de aard en de duur van die doorgiften aan subverwerkers moeten worden gespecificeerd. Ook de exporterende partij wordt hier dus over in kennis gesteld (in lijn met de EDPB-aanbevelingen).
Bijlage 2: Beveiligingsmaatregelen
In bijlage 2 moeten de technische en organisatorische beveiligingsmaatregelen worden beschreven die zijn genomen om de overgedragen gegevens te beschermen.
Bijlage 3: Subverwerkers
Bijlage 3 bevat een lijst waarin specifieke subverwerkers kunnen worden aangegeven waar de exporteur toestemming voor heeft gegeven. Indien de gegevensimporteur in plaats daarvan een algemene machtiging krijgt om subverwerkers in te schakelen, is deze bijlage niet nodig.
Eenvoudig gezegd: partijen vullen de verplichte bepalingen dus aan met i) de bepalingen uit de relevante module en met ii) de juiste beschrijving in de bijlagen.
Meer partijen en Docking-bepaling
De Modelcontracten kunnen door meerdere partijen worden ondertekend (wat handig kan zijn bij, bijvoorbeeld, intragroepsdoorgiften). Met de Docking-bepaling wordt bovendien geregeld dat na verloop van tijd nieuwe partijen aan het Modecontract kunnen worden toegevoegd.(7) Dit is een praktische verbetering ten opzichte van de oude modelcontracten.
Geografisch toepassingsgebied
Door de wijze waarop de oude Modelcontracten waren opgesteld, kon onder die Modelcontracten de gegevensexporteur alleen een in de EER gevestigde partij zijn. Dit creëerde problemen wanneer een gegevensexporteur buiten de EER was gevestigd, maar nog steeds onder de AVG viel op grond van het extraterritoriale toepassingsgebied van de AVG.(8) Deze tekortkoming is door de nieuwe Modelcontracten verholpen. De nieuwe Modelcontracten kunnen ook door een gegevensexporteur buiten de EER die op grond van het extraterritoriale toepassingsgebied van de AVG onder de AVG vallen worden gebruikt.
In Schrems II overwoog het Hof (kortgezegd) dat modelcontracten moeten zorgen voor een beschermingsniveau dat in grote lijnen overeenkomt (‘essentialy equivalent’ is) met het beschermingsniveau binnen de EER. Bij de beoordeling van dit beschermingsniveau moet rekening worden gehouden met onder andere de relevante aspecten van het rechtsstelsel van het derde land waar de gegevens naartoe gaan. Met andere woorden, er moet, ook wanneer de (oude) modelcontracten worden gesloten, een ‘overdrachtseffectbeoordeling’ (ook wel ‘transfer impact assessment’) worden gemaakt. De EDPB concept-aanbevelingen – welke ik in een eerdere bijdrage besprak – over de doorgiften van persoonsgegevens na Schrems II gingen ook al in op het maken van deze beoordeling. Een belangrijke vraag is hoe de nieuwe Modelcontracten zich verhouden tot de Schrems II uitspraak en de EDPB concept-aanbevelingen over de doorgiften van persoonsgegevens.
In de nieuwe Modelcontracten is een volledige afdeling gewijd aan de Schrems II-vereisten.(9) Deze bepalingen zijn relevant voor alle vier de modules. Zo heeft de EC de nieuwe Modelcontracten aangevuld met een aantal specifieke maatregelen voor het geval de gegevensimporteur de nieuwe Modelcontracten niet kan naleven als gevolg van de wetgeving het betreffende land. De EC heeft hierbij gekozen voor een op risico gebaseerde aanpak, waarmee zij er feitelijk voor zorgt dat er niet op voorhand al bepaalde landen worden uitgesloten van gegevensoverdrachten (zoals de Verenigde Staten (VS), waar het Hof in de Schrems II zaak erg kritisch over was).
Belangrijk is dat de partijen moeten garanderen dat zij "geen reden hebben om aan te nemen" dat de wetgeving van het ontvangende land tot gevolg heeft dat de gegevensimporteur de Modelcontracten niet zal kunnen nakomen.(10) Bij het geven van deze garantie moeten de partijen "naar behoren rekening houden" met de "specifieke omstandigheden van de doorgifte", de "wetten en praktijken van het derde land van bestemming" en "alle relevante contractuele, technische of organisatorische garanties".(11) De voetnoot bij deze bepaling geeft aan dat "ervaring met eerdere verzoeken om openbaarmaking van overheidsinstanties, of de afwezigheid van dergelijke verzoeken" bij een dergelijke beoordeling in aanmerking kan worden genomen. In de praktijk zal dit betekenen dat als een organisatie kan aantonen dat zij nooit of zelden dergelijke verzoeken ontvangt, zij de beoordeling als laag risico zal categoriseren. Dit zal in de praktijk vermoedelijk vaak voorkomen. Belangrijk om te onthouden is dat deze risicobeoordeling moet worden gedocumenteerd en op verzoek van de bevoegde toezichthoudende autoriteit ter beschikking moet worden gesteld.(12)
Tot slot verbinden gegevensimporteurs zich door ondertekeningen van de nieuwe Modelcontracten ertoe:
De gegevensexporteur in kennis te stellen indien de gegevensimporteur reden heeft om aan te nemen dat hij niet aan de vereisten van de nieuwe Modelcontracten kan voldoen, en in dat geval aanvullende maatregelen te nemen om de situatie aan te pakken, of, indien dat niet mogelijk is, de doorgifte op te schorten(13);
De gegevensexporteur en de betrokkene in kennis te stellen wanneer de gegevensimporteur van overheidsinstanties juridisch bindende verzoeken ontvangt (met inbegrip van de rechtsgrondslag op basis waarvan het verzoek wordt gedaan)(14);
De gegevensexporteur met regelmatige tussenpozen gedurende de duur van de overeenkomst te informeren over de ontvangen verzoeken(15);
Een juridisch bindend verzoek aan te vechten en gebruik te maken van elke beschikbare beroepsprocedure indien gegevensimporteur gegronde redenen heeft om dat verzoek onwettig te achten. Ook moet de gegevensimporteur bij het voldoen aan dergelijke verzoeken aantonen dat er stappen zijn ondernomen om de persoonsgegevens tot een minimum te beperken, zodat de minimale hoeveelheid persoonsgegevens kan worden verstrekt die nodig is om aan het verzoek te voldoen.(16)
Naast de hierboven besproken noviteiten versterken de nieuwe Modelcontracten de rechten van de betrokkenen. Nieuw is bijvoorbeeld dat betrokkenen moeten beschikken over een middel om contact op te nemen met buitenlandse verwerkingsverantwoordelijken en moeten worden vergoed voor schade die met betrekking tot hun persoonsgegevens is ontstaan. Ook dient de gegevensimporteur een contactpunt voor betrokkenen aan te wijzen, welke klachten of verzoeken onmiddellijk moet afhandelen. In geval van een geschil tussen de gegevensimporteur en een betrokkene die zich beroept op zijn rechten als derde-begunstigde, kan de betrokkene een klacht indienen bij de bevoegde toezichthoudende autoriteit of het geschil voorleggen aan de bevoegde rechtbanken in de EER.
De nieuwe Modelcontracten zijn van kracht geworden twintig dagen nadat ze zijn gepubliceerd in het Publicatieblad van de EU. Deze publicatie vond plaats op 7 juni 2021, wat betekent dat ze in werking traden op 27 juni 2021. Voor nu is relevant dat de oude Modelcontracten op 27 september 2021 zullen worden ingetrokken. Na die datum kan géén gebruik meer worden gemaakt van de oude Modelcontracten. Zodra de oude Modelcontracten zijn ingetrokken, zal de EC een extra transitieperiode van vijftien maanden (dus tot 27 december 2022) toestaan waarin de oude Modelcontracten aanvaardbaar zijn voor bestaande overeenkomsten, maar alle nieuwe overeenkomsten moeten gebruik maken van de nieuwe Modelcontracten. Tegen het einde van die periode zullen alle nieuwe en bestaande contracten de nieuwe Modelcontracten vereisen.
Het heeft even geduurd, maar uiteindelijk zijn de nieuwe Modelcontracten vastgesteld. Het is nu zaak dat elke organisatie die haar internationale doorgiften van persoonsgegevens op Modelcontracten baseert, de oude Modelcontracten voor het eind van 2022 vervangt door de nieuwe Modelcontracten. Dit zal logischerwijs nog aardig wat tijd in beslag nemen. Het is dus zaak vroegtijdig met deze werkzaamheden te beginnen.
Voetnoten
(1) Hof van Justitie van de Europese Unie, 16 juli 2020, ECLI:EU:C:2020:559 (Schrems II).
(2) https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en en https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32021D0915.
(3) https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf.
(4) https://ec.europa.eu/commission/presscorner/detail/en/ip_21_3183.
(5) https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.
(6) https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32021D0915.
(7) Bepaling 7 van de Modelcontracten.
(8) Artikel 3 lid 2 AVG.
(9) Afdeling III.
(10) Bepaling 14 onder A.
(11) Bepaling 14 onder B.
(12) Bepaling 14 onder D.
(13) Bepaling 14 onder E en F.
(14) Bepaling 15.1.
(15) Bepaling 15.1. onder C.
(16) Bepaling 15.2.