Europees modelcontract

Wat is een Europees modelcontract?

De Algemene Verordening Persoonsgegevens bepaalt dat het in beginsel verboden is persoonsgegevens te exporteren naar een land buiten de Europese Unie (of eigenlijk: de Europese Economische Ruimte) dat naar EU-maatstaven een ontoereikend beschermingsniveau biedt.

Slechts onder bepaalde voorwaarden is het toegestaan om naar dergelijke 'derde landen' persoonsgegevens te exporteren. Voor een opsomming van deze voorwaarden, zie: doorgifte van persoonsgegevens.
Een van de hier genoemde voorwaarden betreft het gebruik van een modelcontract dat is goedgekeurd door de Europese Commissie. Het gaat hierbij om zogenoemde Europese modelcontracten, ook wel standard contractual clauses of SCC genoemd. Deze bevatten bepalingen die passende waarborgen bieden, onder andere door de plichten en aansprakelijkheden van partijen vast te leggen.

Schrems II en standard contractual clauses (SCC)

Op 16 juli 2020 heeft het Europees Hof van Justitie een belangrijke uitspraak gedaan. Hoewel deze uitspraak in het bijzonder gericht was op het gebruik van het Privacy Shield, heeft zij ook gevolgen voor het gebruik van Europese modelcontracten. In deze zogenoemde Schrems II-uitspraak werd het Privacy Shield als doorgiftemechanisme ongeldig verklaard omdat het vereiste beschermingsniveau van persoonsgegevens niet in acht wordt genomen.

Normaal gesproken is een Europees modelcontract een optie voor doorgifte van persoonsgegevens naar een derde land. Maar dat kan alleen als het vereiste beschermingsniveau in acht wordt genomen in dat derde land. In het geval van de Verenigde Staten is dat beschermingsniveau nu juist niet gegarandeerd. Hierdoor is ook de geldigheid van het gebruik van Europese modelcontracten voor de doorgifte van persoonsgegevens van de Europese Unie naar de Verenigde Staten op losse schroeven komen te staan. Dit heeft grote gevolgen voor gebruikers van programma's of apps die data in de Verenigde Staten opslaan. Dat betreft enerzijds apps voor consumenten (denk aan Facebook), anderzijds applicaties voor bedrijven. Met name bedrijven moeten zich herorinteren op de door hen gebruikte programmatuur.

De Europese modelcontracten

De Europese Commissie heeft drie Europese modelcontracten beschikbaar gesteld. Twee modellen voor doorgifte van persoonsgegevens van een controller (verwerkingsverantwoordelijke) in de EU naar een controller buiten de EU/EER en n model voor doorgifte van een controller in de EU naar een processor (verwerker) buiten de EU/EER. Bijzonder aan deze contracten is dat de bepalingen inhoudelijk niet mogen worden gewijzigd. Wordt door een toevoeging afbreuk gedaan aan de inhoud van de bepalingen, dat is er geen sprake meer van een geldig doorgiftemechanisme.
Bekijk de standard contractual clauses van de Europese Commissie.

Gerelateerde onderwerpen