Nieuwe Standard Contractual Clauses voor internationale doorgifte van persoonsgegevens

Door Schrems II lagen de SCC’s echter onder vuur. Daarbij waren ze sowieso nog niet geüpdatet met de komst van de Algemene Verordening Gegevensbescherming (AVG). De nieuwe SCC’s waren dan ook zeer gewenst, en ze zijn er sinds 4 juni 2021!

De nieuwe SCC’s bestaan uit een algemeen deel en modulair deel waarbij in het modulaire deel kan worden gekozen voor de module die aansluit bij de toepasselijke privacy posities. In het algemene deel worden zaken geregeld als het doel en onderwerp van de SCC’s, priortering, mogelijkheid tot uitbreiding van de partijen bij de SCC’s en algemene waarborgen. Daarbij zijn er algemene bijlagen toegevoegd waarin relevante partijen, persoonsgegevens, betrokkenen, details over de doorgifte, de bevoegde toezichthouder, beveiligingsmaatregelen en de subverwerkers nader kunnen worden gespecificeerd. Bij het modulaire deel kan er worden gekozen uit vier modules die van toepassing zijn op vier verschillende situaties:

• Doorgifte van persoonsgegevens van een verantwoordelijke (data exporter) naar een verantwoordelijke (data importer);
• Doorgifte van persoonsgegevens van een verantwoordelijke (data exporter) naar een verwerker (data importer);
• Doorgifte van persoonsgegevens van een verwerker (data exporter) naar een verwerker (data importer);
• Doorgifte van persoonsgegevens van een verwerker (data exporter) naar een verantwoordelijke (data importer).

Binnen deze modules worden verder ook nog een aantal opties geboden. Zo kan er bijvoorbeeld worden gekozen tussen het geven van algemene of specifieke toestemming voor het inschakelen van subverwerkers.

De nieuwe SCC’s kunnen worden gebruikt voor doorgifte van persoonsgegevens naar derde landen (landen buiten de EER), waarbij de data exporter kan zijn gevestigd in een land binnen de EER maar ook buiten de EER (en deze valt onder het toepassingsbereik van de AVG). Daarbij kunnen de SCC’s op ieder moment worden uitgebreid en/of aangevuld met nieuwe partijen die worden toegevoegd als (sub)verwerkers maar ook nieuwe partijen die een positie als data importer of data exporter innemen. Verder mogen er net als bij de vorige SCC’s geen aanpassingen worden gemaakt in de artikelen. Zaken als aansprakelijkheden, garantieverplichtingen en informatie die partijen onderling en aan betrokkenen moeten verstrekken staan bijvoorbeeld allemaal vast. Wel mogen de SCC’s worden opgenomen in een ‘groter’ contract en mogen er bepalingen worden toegevoegd, mits deze de SCC’s niet tegenspreken.

Buiten dat de nieuwe SCC’s veel omvangrijker zijn, meer keuzemogelijkheden bieden en bepalingen over relevante AVG-onderdelen bevatten vallen er de volgende zaken op:

• De situaties waarop de SCC’s van toepassing zijn, zijn uitgebreid (lees: vanwege de vier modules waardoor er voor vier verschillende situaties qua privacy posities bij doorgifte nu SCC’s beschikbaar zijn i.p.v. twee, en de mogelijkheid dat de data exporter zich nu ook buiten de EER kan bevinden).
• De flexibele aanpak waardoor meerdere partijen op meerdere momenten kunnen worden toegevoegd of geschrapt als data importer of data exporter.
• De implementatie van de Schrems II-vereisten waardoor er nu o.a. een verplichting is gecreëerd voor de data importer om een voorafgaand assessment uit te voeren op de toepasselijke wetgeving en mogelijkheid tot het moeten verstrekken van persoonsgegevens aan publieke organisaties. En tevens de verplichting dat wanneer er verzoeken om persoonsgegevens van publieke organisaties komen, ze waar mogelijk moeten worden afgewezen/bestreden, de data exporter (waar mogelijk) moet worden geïnformeerd en de data importer dit dient te registreren en hierover i.i.g. op geaggregeerd niveau informatie dient te verstrekken aan de data exporter.
• De partijen hebben richting betrokkenen een onbeperkte aansprakelijkheid voor het niet naleven van de SCC’s, maar ook richting elkaar. Het is de vraag of partijen de aansprakelijkheid richting elkaar niet contractueel kunnen beperken.
• De partijen hebben keuzevrijheid qua rechts- en forumkeuze (onder de oude SCC’s was dit automatisch hetzelfde als dat van het land van de data exporter).

Officieel kunnen de nieuwe SCC’s vanaf 27 juni 2021 gebruikt worden. Tot en met 26 september 2021 mogen organisaties vanwege de overgangsperiode de oude SCC’s echter ook nog blijven gebruiken. Vanaf 27 september 2021 mogen alleen de nieuwe SCC’s nog worden gebruikt voor nieuwe contracten. Verder krijgen organisaties tot 27 december 2022 de tijd om al hun reeds gesloten oude SCC’s te vervangen door nieuwe SCC’s.

Wilt u meer weten over de nieuwe SCC’s of heeft u hulp nodig bij het vervangen van uw oude SCC’s? Neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, Privacy & Cybersecurity