Afgelopen juni zijn de nieuwe Standard Contractual Clauses (SCC’s ) gepubliceerd. Deze vervangen de oude SCC’s die voor de GDPR onder de Privacy Richtlijn waren aangenomen.
Hoe zat het ook al weer met de SCC’s?
Als persoonsgegevens doorgegeven worden aan landen buiten de Europese Economische Ruimte (EER) vraagt de AVG om extra waarborgen. De EER bestaat uit alle landen van de EU en Liechtenstein, Noorwegen en IJsland. Buiten de EER geldt de AVG vanzelfsprekend niet vandaar dat er extra waarborgen nodig zijn.
Die extra waarborgen kunnen bestaan uit een zogenaamd adequaatheidsbesluit. Daarmee geeft Europese Commissie dat dit land of de sector een passend beschermingsniveau van de verwerking van persoonsgegevens waarborgt (art. 45 AVG). Met deze landen kunnen persoonsgegevens gewoon worden uitgewisseld. Tot dusver heeft de Commissie voor dertien landen een adequaatheidsbesluit genomen, waaronder voor Canada, Japan en Zwitserland.
Als er geen adequaatheidsbesluit is genomen voor een land en er worden toch persoonsgegevens aan dit land doorgegeven dan worden daarvoor de SCC’s (Standard Contractual Clauses) gebruikt. In november 2020 heeft de Europese Commissie vervolgens een ontwerp van nieuwe SCC’s gepubliceerd, dat dus nu aangenomen is.
Wat zijn de belangrijkste verandering van de nieuwe Standard Contractual Clauses (SCC’s)?
Een deel van de verandering van de Nieuwe Standard Contractual Clauses (scc’s) zijn “stilistisch”. Dat wil zeggen het taalgebruik is aangepast aan de taal van de AVG. Zo is een aparte verwerkersovereenkomst niet meer nodig: voor situatie 1 en 2 is artikel 28 (3) van de AVG integraal verwerkt. Ook de regeling voor subverwerkers sluit aan op artikel 28. Ook aansprakelijkheid sluit grotendeels aan bij artikel 82 van de AVG. Tot slot neemt de verantwoordingsplicht een belangrijke plek in: beide partijen moeten kunnen aantonen dat ze aan de SCC’s voldoen.
Belangrijker is dat nu alle mogelijke doorgifte situaties zijn vastgelegd. De oude SCC’s kenden alleen de doorgifte tussen verwerkingsverantwoordelijken en doorgifte van verwerkingsverantwoordelijke naar verwerker.
De nieuwe Standard Contractual Clauses (SCC’s) voegen daar aan toe:
- Doorgifte van verwerker naar verwerker
- Doorgifte van verwerker naar verwerkingsverantwoordelijke
Daarmee zijn dus alle mogelijke doorgiftescenario’s afgedekt.
Verder bevatten de nieuwe SCC’s drie bijlagen:
- Bijlage 1 en de zogenaamde docking-bepaling maken het mogelijk om meerdere partijen tot de overeenkomst te laten toetreden, wat nuttig is voor intra-groep datatransfers;
- Bijlage 2 laat partijen toe om een lijst op te nemen van de technische en organisatorische maatregelen die zij hebben genomen om een passend beveiligingsniveau te waarborgen in de zin van het arrest Schrems II. De bijlage bevat bovendien enkele voorbeelden ter inspiratie (zoals pseudonimisering, fysieke beveiliging van locaties, identificatie en autorisatie van gebruikers…);
- Bijlage 3 maakt het mogelijk om een lijst op te nemen van subverwerkers (in te vullen bij module 2 en 3).
Tenslotte bevatten de nieuwe SCC’s ook zogenaamde Schrems II bepalingen met verplichtingen voor gegevensimporteurs in derde landen wanneer een overheidsinstantie toegang zou nemen tot Europese persoonsgegevens.
Overgangsperiode
De Nieuwe Standard Contractual Clauses (scc’s) zijn in gegaan op 27 juni jl. Echter de oude SCC’s blijven nog geldig tot 27 september aanstaande. Tot die tijd kan je dus kiezen tussen de oude of nieuwe SCC’s als je nieuwe verwerkersovereenkomsten aan gaat.
Voor bestaande verwerkersovereenkomsten heb je tot 27 december aanstaande de tijd om de oude SCC’s te vervangen door de Nieuwe Standard Contractual Clauses (scc’s).
Om extra werk te voorkomen raden we je daarom aan om voor alle verwerkersovereenkomsten die je vanaf 27 juni afsluit de Nieuwe Standard Contractual Clauses (scc’s) te gebruiken.
Het team van DePrivacyGuru staat klaar om te helpen bij alle vragen over jullie transferbeleid.