De Europese Commissie heeft op 4 juni nieuwe modelcontracten voor internationale doorgifte van persoonsgegevens gepubliceerd.
Deze update was hoognodig, om diverse redenen:
(1) De bestaande contracten stamden uit het pré-AVG tijdperk; de huidige sluiten beter aan op de huidige regels en de nieuwe verplichtingen inzake bijvoorbeeld audits en controle en de rechten van betrokkenen.
(2) De contracten waren te beperkt: slechts tussen 2 partijen mogelijk (terwijl vaak met meerdere partijen informatie wordt uitgewisseld) en alleen beschikbaar voor een verantwoordelijke die gegevens naar een andere verantwoordelijke of een verwerker buiten de EU/EER wilde zenden; de nieuwe voorzien niet alleen in doorgifte van verantwoordelijke naar verantwoordelijke of verwerker, maar ook in (modules voor) doorgifte van (sub)verwerker naar (sub)verwerker en doorgifte van (sub)verwerker naar verantwoordelijke.
(3) De uitspraak van het Hof van Justitie van de Europese Unie in de Schrems II-zaak, waarin het Privacy Shield per direct ongeldig werd verklaard, maakte duidelijk dat niet kan worden volstaan met het tekenen van deze contracten; er moet worden gekeken of hiermee daadwerkelijk voldoende bescherming wordt geboden en waar nodig moeten aanvullende maatregelen worden getroffen. De nieuwe modelbepalingen bevatten bepalingen die hierop inspelen.
De nieuwe contracten zijn modulair opgebouwd: ze bestaan uit een algemeen deel en vier modules voor de volgende situaties:
1. doorgifte van verantwoordelijke naar verantwoordelijke;
2. doorgifte van verantwoordelijke naar verwerker;
3. doorgifte van (sub)verwerker naar (sub)verwerker;
4. doorgifte van (sub)verwerker naar verantwoordelijke.
De gebruiker moet goed nagaan welke modules hij wil gebruiken. Kennis van de AVGT en inzicht in de eigen rol in de keten zijn dus essentieel.
De contracten kunnen alleen worden gebruikt in situaties waar de AVG niet van toepassing is op de ontvanger, dus bijvoorbeeld niet bij een buiten de EU gevestigde partij die goederen of diensten aanbiedt aan betrokkenen in de EU of hun gedrag (binnen de EU) monitort. Andersom kan die buiten de EU gevestigde partij die zelf toch onder de AVG valt, dit modelcontract wel gebruiken in zijn verhouding tot verwerkers die niet onder de AVG vallen.
Zoals hierboven is aangegeven kunnen meerdere partijen zich aansluiten bij een overeenkomst, dat maakt bijvoorbeeld het doorsturen van gegevens door een verwerker buiten de EU naar eveneens buiten de EU gevestigde subverwerker mogelijk; die subverwerker kan dan gewoon partij worden bij de overeenkomst.
Betrokkenen (wiens gegevens worden verwerkt) kunnen rechtstreeks rechten ontlenen aan de overeenkomst, ook al zijn zij daar geen partij bij. Een keuze voor buitenlands recht is daarom uitsluitend mogelijk indien dat rechtsstelsel “third-party beneficiary rights” mogelijk maakt.
De nieuwe contracten worden 20 dagen na publicatie van kracht. Drie maanden daarna vervallen de oude contracten. Gedurende die periode kunnen deze oude contracten dus nog gesloten worden. Gesloten oude contracten blijven 15 maanden na de vervaldatum geldig; in totaal zouden de oude contracten dus nog maximaal 18 maanden gebruikt kunnen worden.
Diverse bepalingen zijn specifiek opgenomen naar aanleiding van de al genoemde “Schrems II” zaak.
Beide partijen moeten vaststellen en garanderen dat het recht van het land van de ontvangende partij niet in de weg staat aan nakoming van het contract door de ontvanger en moeten daarbij rekening houden met de omstandigheden van de gegevensoverdracht, inclusief aspecten zoals de lengte van de verwerkingsketen, het aantal betrokken actoren en de gebruikte transmissiekanalen; het type ontvanger en details van verdere overdrachten; het doel van de verwerking en de aard van de overgedragen gegevens.
Deze beoordeling moet worden vastgelegd en op verzoek ter beschikking worden gesteld van de bevoegde toezichthoudende autoriteit.
De gegevensimporteur moet - waar mogelijk - de gegevensexporteur op de hoogte stellen als hij een verzoek van een overheidsinstantie heeft ontvangen om toegang te krijgen tot dergelijke gegevens en de wettigheid van een dergelijk bevel beoordelen en betwisten waar mogelijk en hooguit een minimale set gegevens beschikbaar stellen. De gegevensimporteur moet deze verzoeken en de daarbij gevolgde stappen documenteren en ter beschikking stellen aan de exporteur.
Voor de exacte verplichtingen van beide partijen zij verwezen naar het nieuwe modelcontract.
De introductie van de nieuwe modelcontracten leidt onherroepelijk tot diverse aandachts- en actiepunten:
deze bepalingen zijn nog steeds geen sluitende oplossing voor de Schrems II problematiek. Welke “aanvullende maatregelen” passend zijn is nog aan partijen om te bepalen. Daarnaast moeten zij bij de beoordeling van de situatie in het ontvangende land niet alleen op eigen praktijkervaring leunen, maar moeten zij dat oordeel baseren op “objective elements” en moeten zij zorgvuldig beoordelen “whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion”. Dat niet alleen: “In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies”. Dat is nogal een opgave!
De beoordeling van de situatie in het ontvangende land is niet vrijblijvend, moet worden gedocumenteerd en desgevraagd aan de bevoegde toezichthouder (in Nederland: de AP) worden verstrekt.
De huidige modelbepalingen zijn nog maximaal 18 maanden te gebruiken; partijen zullen tijdig moeten omschakelen naar de nieuwe bepalingen.
Betrokkenen moeten ook bij gebruik van dit modelcontract voldoen aan hun verplichting om betrokkenen te informeren over de (voorgenomen) data-export.
De contracten mogen worden aangepast, aangevuld en/of ingebed in andere contracten, mits dat geen afbreuk doet aan de bepalingen van het modelcontract. Het blijft dus raadzaam om zeer zorgvuldig (en wellicht terughoudend) te zijn met het doen van aanpassingen
Commerciële aspecten zoals de kosten van het uitvoeren van audits bij de ontvanger, voorwaarden voor schadevergoeding (bijvoorbeeld tijdig ter kennis brengen van ingestelde vorderingen en bijstand verlenen aan de verantwoordelijke) zijn niet opgenomen in dit model en zullen dus uitonderhandeld moeten worden.
In bijlage 2 moeten de beveiligingsmaatregelen worden opgenomen. Dat kan niet meer in algemene bewoordingen over “security policies”, maar moet vrij gedetailleerd. Ook hier is werk aan de winkel.
De nieuwe modelcontracten voor internationale doorgifte van persoonsgegevens sluiten beter aan op de AVG en zijn in de praktijk beter bruikbaar. Ze zijn er niet leesbaarder en makkelijker op geworden: het zijn feitelijk 4 contracten samengevoegd in één model van 34 pagina’s lang. Het selecteren van de juiste modules en aanpassen van het stuk op de specifieke situatie zal, zeker in het begin, de nodige tijd en hoofdbrekens kosten.
Daarnaast lost dit contract de “Schrems II-problematiek” niet op. In tegendeel: er rusten heel wat verplichtingen op partijen, die moeten kunnen aantonen dat zij zich serieus met deze problematiek bezig hebben gehouden.