Internationale doorgifte van persoonsgegevens in een notendop

Veel recente ontwikkelingen, een gestructureerd overzicht

Juni 2021 is een zeer actieve maand geweest op het gebied van internationale doorgiften van persoonsgegevens.

In deze blogpost geven wij een overzicht van deze ontwikkelingen met een korte toelichting, alsook een meer gestructureerd overzicht van de verschillende vereisten bij de doorgifte van persoonsgegevens van de EER naar een derde land.

Overzicht van recente ontwikkelingen

1. Toereikendheidsbeschikking voor het VK

Nu de BREXIT-overgangsperiode voor het VK op 30 juni 2021 afgelopen is, is de GDPR niet langer van toepassing in het VK en is het VK een derde land geworden.

Op 28 juni heeft de EG een besluit vastgesteld waarbij het Verenigd Koninkrijk een passend beschermingsniveau wordt geboden, zodat het rechtskader in het Verenigd Koninkrijk nog steeds gebaseerd is op regels die een gelijkwaardig niveau van bescherming van persoonsgegevens bieden, net als toen het Verenigd Koninkrijk nog een lidstaat van de EU was.

Bijgevolg kunnen persoonsgegevens na 1 juli 2021 vrij blijven circuleren tussen de EU en het VK, zonder dat SCC's of soortgelijke beschermingsmaatregelen uit hoofde van artikel 46 van de GDPR ten uitvoer hoeven te worden gelegd.

Het besluit is in eerste instantie geldig voor een periode van 4 jaar en kan worden verlengd afhankelijk van hoe de juridische situatie in het VK zich verder ontwikkelt.

2. Adequaatheidsbesluit voor Zuid-Korea

Op 16 juni 2021 heeft de EG het ontwerp-besluit inzake adequaatheid voor Zuid-Korea goedgekeurd en de goedkeuringsprocedure ingeleid, waarin wordt geconcludeerd dat Zuid-Korea een beschermingsniveau waarborgt dat in wezen gelijkwaardig is aan het niveau dat door de GDPR wordt gewaarborgd.

Na de formele goedkeuring van het besluit waarbij het beschermingsniveau passend wordt verklaard, wordt Zuid-Korea een veilig derde land waarvoor geen artikel 46-maatregelen ten uitvoer hoeven te worden gelegd. Bijgevolg zullen persoonsgegevens na de datum van formele goedkeuring vrij kunnen circuleren tussen de EER en Zuid-Korea.

3. Nieuwe contractuele standaardclausules

Op 4 juni 2021 heeft de EC de nieuwe modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen (buiten de EER) in het kader van de GDPR vastgesteld. Verderop in deze blog leest u meer over de nieuwe SCC's. De nieuwe SCC's vervangen de oude SCC's die op grond van Richtlijn 95/46/EG zijn vastgesteld.

4. Model van gegevensverwerkingsovereenkomst

Op 4 juni 2021 heeft de EC ook een modelovereenkomst aangenomen voor de verwerking van persoonsgegevens door een verwerker ten behoeve van een verwerkingsverantwoordelijke in de EER. Als u meer wilt weten over de reikwijdte hiervan en de voordelen van het gebruik van dit model, raden wij u aan onze vorige blogpost te lezen).

5. Definitieve versie van de EDPB-aanbevelingen voor internationale gegevensoverdrachten

Op 18 juni 2021 heeft de EDPB de definitieve versie gelanceerd van haar aanbevelingen 01/2020 inzake maatregelen die de instrumenten voor doorgifte aanvullen om ervoor te zorgen dat het EU-beschermingsniveau voor persoonsgegevens wordt nageleefd. De aanbevelingen zijn bedoeld om gegevensexporteurs te helpen bij de rechtmatige doorgifte van persoonsgegevens naar derde landen buiten de EER door een gelijkwaardig beschermingsniveau voor de doorgegeven persoonsgegevens te waarborgen .

In vergelijking met de ontwerpaanbevelingen van november 2020 heeft de EDPB de nadruk gelegd op een aantal specifieke aspecten die in de overdrachtseffectbeoordeling (transfer impact assessment of TIA) moeten worden behandeld.

Meer specifiek moet de TIA

• niet alleen de wetgeving in het derde land te beoordelen, maar ook de praktijken van de overheidsinstanties in dat land. Dit moet helpen bepalen of de wetgeving en/of praktijken van het derde land afbreuk doen aan de doeltreffendheid van het gekozen doorgifte-instrument uit hoofde van artikel 46 van de GDPR. In dit geval kan het zijn dat de wet zeer streng is, maar dat de handhaving redelijk is of geheel ontbreekt.
• Rekening houden met de praktische ervaring van de gegevensimporteur, naast andere elementen en met bepaalde voorbehouden.

Bovendien verklaarde de EDPB dat de aanbevelingen met betrekking tot de nieuwe SCC's kunnen worden gebruikt om na te gaan welke lokale wetten en praktijken van invloed zijn op de naleving van de SCC's en de eventuele noodzaak om aanvullende maatregelen te nemen.

6. Gecoördineerde handhavingsmaatregelen van Duitse toezichthoudende autoriteiten

De Duitse gegevensbeschermingsautoriteiten zijn begonnen met gezamenlijke actie om "Schrems II" te handhaven door gegevensoverdrachten naar derde landen in heel Duitsland te onderzoeken. Zij doen dit door vragenlijsten van 5 tot 10 bladzijden te versturen om een goed inzicht te krijgen in de wijze waarop organisaties voldoen aan de voorschriften inzake internationale gegevensoverdracht. Wij verwachten dat toezichthoudende autoriteiten in andere lidstaten vroeg of laat soortgelijke handhavingsacties zullen ondernemen.

Algemene vereisten voor internationale doorgiften van gegevens 

Drie stappen en verantwoording

Eerste stap: rechtsgrondslag

Zoals bij elke internationale gegevensoverdracht, moet in de eerste plaats altijd worden nagegaan of

• de voor de verwerking verantwoordelijke zich baseert op een correcte rechtsgrondslag voor de doorgifte naar een derde land (bv. uitvoering van een overeenkomst, toestemming, enz.) en
• aanalle andere beginselen van noodzakelijkheid en evenredigheid is voldaan.

Tweede stap: overdrachtsmechanisme

Voor de doorgifte van persoonsgegevens naar niet-adequate derde landen buiten de EER is een passend en geldig mechanisme voor gegevensoverdracht nodig overeenkomstig artikel 46, leden 1 en 2, onder c), van de GDPR. De nieuwe SCC's zijn zo'n geldig doorgiftemechanisme, maar niet het enige. Bindende bedrijfsvoorschriften kunnen bijvoorbeeld ook een geldig doorgiftemechanisme zijn binnen multinationale organisaties. In sommige gevallen kunnen ze zelfs interessanter zijn, omdat de goedkeuring ervan door toezichthoudende autoriteiten een garantie inhoudt over het beschermingsniveau in het derde land.

Sinds de GDPR is regelmatig de vraag gerezen of de SCC's überhaupt nodig zijn als de gegevensimporteur reeds rechtstreeks onderworpen is aan de GDPR krachtens artikel 3, lid 2, daarvan. De SCC's lijken in hun overwegingen te suggereren dat dit niet het geval is. De EDPB zal hierover naar verwachting meer duidelijkheid verschaffen. Maar zelfs indien voor dit scenario geen SCC's nodig zijn, zou er toch sprake zijn van een doorgifte van persoonsgegevens waarvoor de hieronder beschreven derde stap moet worden overwogen.

Derde stap: aanvullende maatregelen?

Vertrouwen op de SCC's is niet voldoende, aangezien we het Schrems-II-arrest, de EDPB-richtsnoeren van 18 juni 2021 en de (ontwerp-)nieuwe SCC's hebben.

Organisaties die een beroep willen doen op de SCC's zijn wettelijk verplicht hun gegevensdoorgiften in kaart te brengen en een effectbeoordeling uit te voeren om de vraag te beantwoorden:

• bieden de wetgeving, de jurisprudentie en de rechtsleer in het derde land een gelijkwaardige bescherming als in de EER; of
• moeten er aanvullende maatregelen (contractueel, juridisch en/of organisatorisch) worden genomen? Bijzondere aandacht moet worden besteed aan gevoelige gegevens (artikel 8, lid 6, van de nieuwe SCC's).

Algemene verantwoordingsplicht

Alle inspanningen om te voldoen aan de vereisten voor internationale doorgiften van gegevens moeten naar behoren worden gedocumenteerd als onderdeel van de algemene verantwoordingsplicht uit hoofde van de GDPR.

In dit verband moeten gegevensexporteurs altijd beginnen met een due diligence van de gegevensimporteurs op wie zij een beroep zullen doen: zal deze partij in staat zijn om, door middel van de implementatie van adequate TOM's, te voldoen aan de verplichtingen die zijn neergelegd in de SCC's (clausule 8)?

Nieuwigheden in vergelijking met de oude SCC's

1. Meerpartijenbenadering

De nieuwe SCC's bieden meer flexibiliteit omdat

• meerdere partijen kunnen zich aanmelden en
• partijen zich in een later stadium kunnen aansluiten (de zogenaamde "docking"-clausule).

2. Alle mogelijke overdrachtsrelaties

De nieuwe SCC's bieden 4 constellaties:

• controller-to-controller
• controller-to-processor
• processor-to-controller en
• processor-to-processor.

3. Modulaire aanpak

De nieuwe SCC's bieden een modulaire aanpak, waardoor het mogelijk is

• om ze (ongewijzigd) te integreren in een groter contract en
• andere clausules toe te voegen, teneinde de verplichtingen van de partijen beter af te stemmen op hun rol en verantwoordelijkheden in verband met de gegevensverwerking in kwestie.

De oude SCC's waren strikter geformuleerd als op zichzelf staande overeenkomsten voor uitsluitend specifieke overdrachtsconstellaties.

4. Richtsnoeren voor Schrems-II-verplichtingen

De nieuwe SCC's bevatten elementen uit het Schrems-II arrest, dat aanvullende garanties voorschreef om ervoor te zorgen dat toezichtactiviteiten vanuit een derde land geen afbreuk doen aan de rechten van de betrokkenen. De SCC's (met name de bijlage betreffende de technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen) bevatten criteria in verband met technische en organisatorische maatregelen die door de gegevensexporteur in aanmerking moeten worden genomen:

• pseudonimisering en encryptie van persoonsgegevens;
• de CIA en de veerkracht van de verwerkingssystemen en -diensten te garanderen;
• toegang tot en beschikbaarheid van persoonsgegevens;
• bescherming van persoonsgegevens tijdens transmissie en opslag;
• gebruikersidentificatie en machtiging;
• fysieke veiligheid;
• loggen van gebeurtenissen;
• gegevensminimalisering;
• beperkte bewaartermijn van persoonsgegevens.

Gegevensexporteurs moeten hun effectbeoordeling van de doorgifte documenteren (en daarbij ook de omstandigheden van de doorgifte en de wetgeving en praktijken van het derde land buiten de EER in aanmerking nemen) en deze beoordeling op verzoek aan de bevoegde toezichthoudende autoriteit verstrekken.

5. Overeenkomst inzake gegevensverwerking

De nieuwe SCC's integreren de verplichtingen van de voor de verwerking verantwoordelijke jegens de verwerker en van de verwerker jegens de subverwerker die voortvloeien uit artikel 28 GDPR, waardoor een afzonderlijke gegevensverwerkingsovereenkomst overbodig wordt in de context van internationale doorgiften van gegevens.

Bij de beoordeling van het passende beveiligingsniveau dienen de partijen terdege rekening te houden met:

• De stand van de techniek;
• De kosten van de uitvoering;
• De aard, de omvang, de context en het doel of de doelen van de verwerking;
• De risico's die de verwerking voor de betrokkene inhoudt.

De partijen overwegen met name gebruik te maken van versleuteling of pseudonimisering, ook tijdens de doorgifte, wanneer het doel van de verwerking op die manier kan worden bereikt.

De gegevensimporteur moet regelmatig controles uitvoeren om een blijvend adequaat beveiligingsniveau te waarborgen.

6. Versterkte rechten van de betrokkenen

Debetrokkenen kunnen een aantal bepalingen van de nieuwe SCC's afdwingen tegenover zowel de invoerder als de uitvoerder van de gegevens.

7. Verdere transfers

In geval van verdere doorgifte door de gegevensimporteur moet deze laatste alle garanties van de SCC's in acht nemen (in het bijzonder ook de doelbinding).

8. verzoeken van overheden

Volgens de nieuwe SCC's moeten gegevensimporteurs

• de gegevensexporteur in de EER in kennis stellen van alle verzoeken om openbaarmaking die hij ontvangt van overheidsinstanties in het derde land, niet alleen van wetshandhavingsinstanties;
• controleren of het verzoek volgens de plaatselijke wetgeving en de beginselen van het internationale recht wettig lijkt;
• het verzoek aanvechten als het onwettig lijkt.

9. Kennisgevingen van inbreuken

De gegevensimporteur (zowel de voor de verwerking verantwoordelijke als de verwerker in het derde land) moet de in de EER gevestigde exporteur en de bevoegde toezichthoudende autoriteit in kennis stellen van elke inbreuk in verband met persoonsgegevens (accidentele of ongeoorloofde toegang tot de gegevens). De getroffen betrokkenen moeten ook worden ingelicht indien het waarschijnlijk is dat er voor hen een groot risico bestaat.

10. Inwerkingtreding van de nieuwe SCC’s

De nieuwe SCC's zijn op 4 juni 2021 bekendgemaakt en traden op 27 juni 2021 in werking.

 Tot 27 september 2021 kunnen organisaties nog de oude SCC's aangaan. Op de oude SCC's kan tot 27 december 2022 een beroep worden gedaan.

Belangrijkste conclusies

Heb je een specifieke vraag of wens je ondersteuning in deze materie? Contacteer dan een advocaat van Timelex.