Europees modelcontract
Wat is een Europees modelcontract?
De Algemene Verordening Persoonsgegevens bepaalt dat het in beginsel verboden is persoonsgegevens te exporteren naar een land buiten de Europese Unie (of eigenlijk: de Europese Economische Ruimte) dat naar EU-maatstaven een ontoereikend beschermingsniveau biedt.Slechts onder bepaalde voorwaarden is het toegestaan om naar dergelijke 'derde landen' persoonsgegevens te exporteren. Voor een opsomming van deze voorwaarden, zie: doorgifte van persoonsgegevens.
Een van de hier genoemde voorwaarden betreft het gebruik van een modelcontract dat is goedgekeurd door de Europese Commissie. Het gaat hierbij om zogenoemde Europese modelcontracten, ook wel modelcontractbepalingen, standard contractual clauses of SCC genoemd. Deze bevatten bepalingen die passende waarborgen bieden, onder andere door de plichten en aansprakelijkheden van partijen vast te leggen.
Schrems II en standard contractual clauses (SCC)
Op 16 juli 2020 heeft het Europees Hof van Justitie een belangrijke uitspraak gedaan. Hoewel deze uitspraak in het bijzonder gericht was op het gebruik van het Privacy Shield, heeft zij ook gevolgen voor het gebruik van Europese modelcontracten. In deze zogenoemde Schrems II-uitspraak werd het Privacy Shield als doorgiftemechanisme ongeldig verklaard omdat het vereiste beschermingsniveau van persoonsgegevens niet in acht wordt genomen.Normaal gesproken is een Europees modelcontract een optie voor doorgifte van persoonsgegevens naar een derde land. Maar dat kan alleen als het vereiste beschermingsniveau in acht wordt genomen in dat derde land. In het geval van de Verenigde Staten is dat beschermingsniveau nu juist niet gegarandeerd. Hierdoor is ook de geldigheid van het gebruik van Europese modelcontracten voor de doorgifte van persoonsgegevens van de Europese Unie naar de Verenigde Staten op losse schroeven komen te staan. Dit heeft grote gevolgen voor gebruikers van programma's of apps die data in de Verenigde Staten opslaan. Dat betreft enerzijds apps voor consumenten (denk aan Facebook), anderzijds applicaties voor bedrijven. Met name bedrijven moeten zich heroriënteren op de door hen gebruikte programmatuur.
De toekomst van modelcontractbepalingen
De Schrems II-uitspraak heeft niet alleen gevolgen voor de doorgifte van persoonsgegevens naar de Verenigde Staten. De nieuwe eisen die aan het gebruik van modelcontractbepalingen worden gesteld, gelden voor élke doorgifte naar een land buiten de EU/EER. Dit betekent dat de 'exporteur' van de persoonsgegevens de doorgifte moet stopzetten als lokale regelgeving het de ontvanger onmogelijk maakt de modelcontractbepalingen na te leven. Bij dergelijke lokale regelgeving kun je denken aan het verplicht toegang verschaffen tot de gegevens aan lokale overheidsinstanties. Dit deed de vraag rijzen of modelcontractbepalingen in de praktijk nog bruikbaar zijn.In dit verband speelt het begrip Transfer Impact Assessment een belangrijke rol. Meer hierover in de volgende paragraaf.
Transfer Impact Assessments
Bedrijven en andere organisaties zullen dus moeten inschatten of er in het land van de ontvanger van de persoonsgegevens (bijvoorbeeld de VS) lokale regelgeving van toepassing is die het de ontvanger lastig of zelfs onmogelijk maakt de modelcontractbepalingen na te leven. Als voorbeeld kan de Amerikaanse CLOUD Act worden genoemd. Op basis van deze wet kunnen Amerikaanse inlichtingendiensten van techbedrijven eisen dat ze de gegevens van hun gebruikers afgeven, ongeacht of deze gegevens in de VS of in de EU zijn opgeslagen.De Europese toezichthouder EDPB heeft over dit onderwerp twee sets aanbevelingen uitgebracht: over gegevensdoorgifte en aanvullende maatregelen en over inmenging autoriteiten in het derde land.
Een dergelijke Transfer Impact Assessment (letterlijk: beoordeling van de gevolgen van een doorgifte) kan overigens ook aan de orde zijn waar het andere doorgiftemechanismen dan modelcontractbepalingen betreft, zoals Binding Corporate Rules (bindende bedrijfsvoorschriften.)
Europese modelcontracten of modelcontractbepalingen: versies
In juni 2021 heeft de Europese Commissie de bestaande Europese modelcontracten vervangen door een nieuw model. De nieuwe standaardcontractbepalingen zijn modulair van opbouw en flexibeler in gebruik.Het dekt de volgende doorgiftesituaties:
- doorgifte van verwerkingsverantwoordelijke in de EU naar verwerkingsverantwoordelijke buiten de EU
- doorgifte van verwerkingsverantwoordelijke in de EU naar verwerker buiten de EU
- doorgifte van verwerker in de EU naar verwerker buiten de EU
- doorgifte van verwerker in de EU naar verwerkingsverantwoordelijke buiten de EU