Update enkele maanden na het arrest Schrems II
In het arrest Schrems II van 16 juli 2020 oordeelde het Hof van Justitie dat de doorgifte van persoonsgegevens buiten de EER (Europese Economische Ruimte) op basis van “standard contractual clauses” (SCC’s) slechts in overeenstemming is met de GDPR voor zover het ontvangende land een gelijkwaardige gegevensbescherming biedt als de EU. Inmiddels kwamen er aanbevelingen over de bijkomende maatregelen die ondernemingen kunnen nemen indien het wettelijk kader in het derde land niet voldoende bescherming biedt, en werd ook een ontwerpversie van nieuwe SCC’s gepubliceerd.
In een eerdere newsflash gaven we reeds toelichting bij het arrest Schrems II, waarin het EU-US Privacyshield ongeldig werd verklaard en de doorgifte van persoonsgegevens op basis van SCC’s werd gekoppeld aan de voorwaarde dat de wettelijke gegevensbescherming in het derde land in grote lijnen overeenkomt met het beschermingsniveau dat binnen de EU is gewaarborgd (lees de newsflash via deze link).
Aanbevelingen Europees Comité voor Gegevensbescherming
Kort na het arrest kondigde het Europees Comité voor Gegevensbescherming aan dat het nog richtlijnen zou uitvaardigen over de bijkomende maatregelen die genomen kunnen worden wanneer blijkt dat het wettelijk kader van het derde land geen gelijkwaardige bescherming biedt als de GDPR. Deze langverwachte aanbevelingen werden op 11 november 2020 gepubliceerd en bevatten zes stappen die verwerkingsverantwoordelijken moeten doorlopen om hun doorgiftes buiten de EER in overeenstemming te brengen met het arrest Schrems II:
(i) Ken uw transfers. Ten eerste moet in kaart worden gebracht naar welke landen buiten de EER persoonsgegevens worden overgedragen. Daarbij moet ook worden nagegaan of de doorgifte toereikend en ter zake dienend is en beperkt blijft tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt in het derde land;
(ii) Identificeer de transfermechanismen. Als tweede stap moet worden nagegaan op welk transfermechanisme de doorgifte gebaseerd is. Dit kan gaan om een adequaatheidsbesluit (o.a. voor Canada, Zwitserland, Japan…), de passende waarborgen voorzien in artikel 46 van de GDPR (SCC’s, “Binding Corporate Rules”, gedragscodes en certificering) of de specifieke occasionele uitzonderingen voorzien in artikel 49 van de GDPR (o.a. doorgiftes die noodzakelijk zijn voor de uitvoering of met het oog op het sluiten van een overeenkomst, of die plaatsvinden op basis van de uitdrukkelijke toestemming van de betrokkene);
(iii) Beoordeel de doeltreffendheid van de transfermechanismen. Indien de doorgifte gebaseerd is op passende waarborgen voorzien in artikel 46 van de GDPR, dan moet geëvalueerd worden of deze passende waarborgen wel doeltreffend zijn gelet op de privacywetgeving in het betrokken derde land, en in het bijzonder gelet op de mogelijkheid tot inmenging van de overheid in de gegevensverwerking. Om de analyse van de wetgeving in het derde land in goede banen te leiden, heeft het Europees Comité voor Gegevensbescherming vier “Europese essentiële waarborgen” bepaald die gecontroleerd moeten worden in het derde land:
• De verwerking moet gebaseerd zijn op duidelijke, nauwkeurige en toegankelijke regels;
• De verwerking moet noodzakelijk zijn en proportioneel ten opzichte van het legitiem doel dat ermee beoogd wordt;
• Er moet een onafhankelijk toezichtmechanisme bestaan in het derde land;
• Er moet een doeltreffend rechtsmiddel beschikbaar zijn voor de personen wiens gegevens worden verwerkt.
(iv) Pas bijkomende maatregelen toe. Indien uit de derde stap gebleken is dat de privacywetgeving in het ontvangende land buiten de EER niet voldoet aan de “Europese essentiële waarborgen”, dan moeten één of meerdere bijkomende maatregelen worden toegepast. Het Europees Comité voor Gegevensbescherming geeft enkele voorbeelden van maatregelen, opgedeeld in drie categorieën:
• Technische maatregelen: encryptie, pseudonimisering …
• Contractuele maatregelen: verbintenis van de gegevensimporteur om zelf ook bepaalde technische maatregelen te nemen (zoals bv. encryptie), transparantieverplichtingen (bv. verplichting voor de gegevensimporteur tot opsomming van de wetgeving in het ontvangende land inzake overheidstoegang tot gegevens, als bijlage bij het contract), de bevoegdheid van de gegevensexporteurs om audits uit te voeren om na te gaan of gegevens aan de overheid zijn verstrekt, de verbintenis om verzoeken tot toegang van de overheid voor de rechtbank te betwisten, een notificatieplicht voor de importeur of exporteur van het overheidsverzoek aan de exporteur en de betrokken persoon wiens gegevens werden vrijgegeven…
• Organisatorische maatregelen: intra-groep policies voor doorgiftes van persoonsgegevens tussen ondernemingen van eenzelfde groep, interne policies over de te volgen procedure bij een overheidsverzoek (waarbij een team in de EER moet worden aangesteld dat overheidsverzoeken zal beoordelen), privacy-policies gebaseerd op ISO-normen…
(v) Controleer de formaliteiten. Vervolgens moeten mogelijks nog bepaalde formaliteiten worden vervuld afhankelijk van het gehanteerde transfermechanisme. Indien de doorgifte gebaseerd is op SCC’s en als bijkomende maatregel bepaalde clausules werden toegevoegd die de SCC’s rechtstreeks of onrechtstreeks tegenspreken, dan zal hiervoor eerst nog de goedkeuring van de Gegevensbeschermingsautoriteit moeten worden bekomen;
(vi) Evalueer van tijd tot tijd. Tot slot moet de doorgifte naar derde landen te gepasten tijde opnieuw geëvalueerd worden om te verzekeren dat het beschermingsniveau gewaarborgd blijft.
Ontwerp van nieuwe “standard contractual clauses”
Daarnaast heeft de Europese Commissie op 12 november 2020 een ontwerp van nieuwe standaard contractuele bepalingen (SCC’s) gepubliceerd, waarvoor momenteel een feedback-periode loopt tot 10 december 2020. De nieuwe SCC’s zijn onder meer aangepast aan het arrest Schrems II en voorzien voor het eerst niet alleen in clausules die van een verwerkingsverantwoordelijke uitgaan maar ook in clausules voor de overdracht van gegevens van “verwerker” naar “verwerker”.
De definitieve versie van de nieuwe SCC’s kan begin 2021 verwacht worden en vanaf dan zal er een overgangsperiode van één jaar zijn. Tijdens deze overgangsperiode zullen de oude SCC’s in bestaande contracten nog geldig blijven voor zover partijen de contracten niet wijzigen. Voor nieuwe verwerkersovereenkomsten en voor wijzigingen aan bestaande contracten zullen daarentegen meteen de nieuwe SCC’s gebruikt moeten worden (tenzij het louter om een wijziging gaat tot invoering van bijkomende maatregelen om een gelijkwaardig niveau van gegevensbescherming te bieden).