Standard contractual clauses (SCC) in plaats van Privacy Shield gebruiken
Het Europees Hof van Justitie heeft in haar uitspraak “Schrems II” het Privacy Shield ongeldig verklaard. Hierdoor is het Privacy Shield geen rechtsgeldige grondslag meer voor het doorgeven van persoonsgegevens naar de Verenigde Staten. De huidige modelcontracten van de Europese Commissie, de “standard contractual clauses” (SCC), zijn overeind zijn gebleven. Het is echter wel van belang dat je toetst of de SCC in jouw specifieke situatie een “voldoende beschermingsniveau” biedt. Dit kun je doen door te toetsen aan artikel 45 lid 2 AVG.
Derde landen
Op grond van de Algemene Verordening Gegevensbescherming (AVG) geldt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan organisaties die zijn gevestigd in landen buiten de Europese Economische Ruimte. De zogenaamde “derde landen”. De doorgifte van persoonsgegevens naar een derde land kan in beginsel slechts plaatsvinden indien het derde land een passend beschermingsniveau waarborgt.
Adequaatheidsbeginsel
Wanneer een land buiten de EER een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een ‘adequaatheidsbeslissing’ nemen. Het Privacy Shield is een voorbeeld van zo’n adequaatheidsbeslissing. Het Privacy Shield is van toepassing op de doorgifte van persoonsgegevens van de EU naar de VS. Het het Privacy Shield heeft tot doel om een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de EU.
Twee prejudiciële vragen
In deze zaak, Schrems II, heeft het Ierse hooggerechtshof prejudiciële vragen gesteld aan het Europees Hof van Justitie. Twee vragen die in dit kader relevant zijn, is of de SCC’s voldoende waarborgen bieden om een passend beschermingsniveau te bieden en wat de geldigheid is van het Privacy Shield.
Geldigheid Privacy Shield
Het Hof toetst de geldigheid van het Privacy Shield aan de AVG. Het Hof stelt vast dat in het Privacy Shield wordt bepaalt dat de nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben. Hiermee komt de privacy van EU-burgers in het geding, zo stelt het Hof. Het Hof verwijst hierbij naar een interne regeling op basis waarvan Amerikaanse overheidsinstanties toegang hebben tot persoonsgegevens zonder dat dit wordt beperkt “tot hetgeen strikt noodzakelijk is”. Daarbij komt dat EU-burgers niet kunnen optreden tegen een inbreuk op hun privacy op grond van het Privacy Shield. Het Hof verklaart het Privacy Shield ongeldig.
Geldigheid standard contractual clauses (SCC)
Een SCC is een modelcontract dat ervoor moet zorgen dat het beschermingsniveau overeenkomt met het beschermingsniveau binnen de Europese Unie. Het Hof verwijst hierbij naar de criteria van artikel 45 lid 2 AVG. Het gaat hier om de criteria die de Europese Commissie in acht moet nemen bij het vaststellen van een adequaatheidsbesluit. Het Hof onderstreept dat een SCC vanwege de contractuele aard niet bindend is voor de autoriteiten van het derde land. Het Hof is van mening dat dit niet afdoet aan de geldigheid van de SCC. Het gaat er bij een SCC om dat de standaardbepalingen zoals die zijn opgenomen de privacy voldoende waarborgen. Het is hierbij van belang dat de doorgifte van persoonsgegevens moet kunnen worden opgeschort als de waarborgen niet kunnen worden nageleefd. Het Hof komt tot het oordeel dat de standard contractual clauses voldoende waarborgen biedt. Er is hierbij wel een hele grote MAAR te noemen. Er is door het Europese Hof van Justitie geoordeeld dat de wetgeving in de Verenigde Staten geen passend beschermingsniveau biedt en betrokkenen niet over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Het is dus maar de vraag of dit onder de SCC’s anders is.
Gevolgen van deze uitspraak
Samengevat heeft de uitspraak van Het Europees Hof van Justitie tot gevolg dat organisaties die persoonsgegevens doorgeven op basis het Privacy Shield aan partijen in de Verenigde Staten niet aan de AVG voldoen.
Wissel je persoonsgegevens uit aan partijen in de Verenigde Staten? Dit kun je blijven doen maar nu op basis van een SCC. Het is echter wel van belang dat je toetst of de SCC in jouw specifieke situatie een “voldoende beschermingsniveau” biedt. Dit kun je doen door te toetsen aan artikel 45 lid 2 AVG. Zoals hiervoor aangegeven kan dit nog een hele uitdaging worden. Er is door de Europese Hof van Justitie geoordeeld dat de wetgeving in de Verenigde Staten geen passend beschermingsniveau biedt en betrokkenen niet over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Dit zal dus ook gelden voor de SCC’s. Let er verder op dat je deze zaken toetst met inachtneming van het soort en de omvang van de betreffende persoonsgegevens. Documenteer deze overweging vervolgens ook. Je hebt immers een verantwoordingsplicht onder de AVG.
Nieuwe set SCC’s
Op 4 juni 2021 heeft de Europese Commissie (EC) een nieuwe set Standard Contractual Clauses (SCC’s) gepubliceerd die de vorige vervangt. De Standard Contractual Clauses bestaan uit vier modules waarmee verschillende vormen van internationale doorgifte worden afgedekt.
Modulaire SCC’s
Deze nieuwe standaard set sluit, ten opzichte van de vorige, beter aan bij de AVG. Denk bijvoorbeeld aan aangescherpte bepalingen over de rechten van betrokkene, de documentatieplicht en verplichtingen aangaande audit en control.
De nieuwe standaard SCC’s zijn modulair opgebouwd en bestaan uit vier modulen, te weten:
– doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke
– doorgifte van verwerkingsverantwoordelijke naar verwerker
– doorgifte van (sub)verwerker naar (sub)verwerker
– doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke
Vragen over SCC’s?
Heb je nog vragen over SCC’s of over het privacyrecht in het algemeen, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.