Het “doorgeven” van persoonsgegevens aan landen of organisaties buiten de Europese Economische Ruimte (“EER”) zonder passend beschermingsniveau1 is volgens Europese privacywetgeving enkel toegestaan als er passende waarborgen worden genomen. Dit om de persoonsgegevens van de betrokken personen zo goed mogelijk te beschermen, in lijn met de huidige privacywetgeving, de Algemene verordening gegevensbescherming (“AVG”).
Doorgeven van persoonsgegevens is een breed begrip. Er wordt daarbij niet alleen gedacht aan een actieve handeling waarbij daadwerkelijk persoonsgegevens worden verstrekt, zoals de situatie waarin een Europees bedrijf zijn klantenlijst mailt naar zijn Australische marketingbureau, maar ook het enkel beschikbaar maken van de persoonsgegevens. Zo is de mogelijkheid voor een Amerikaans marketingbureau om toegang te krijgen tot de klantendatabase van een Nederlandse organisatie ook aan te merken als een doorgifte.
In de AVG wordt een limitatief overzicht gegeven van de waarborgen die er zijn om een internationale doorgifte te rechtvaardigen. Eén van die waarborgen is het gebruik van de door de Europese Commissie goedgekeurde modelcontractbepalingen. Deze modelcontractbepalingen moeten daarvoor in ongewijzigde vorm door de Europese gegevensexporteur en de internationale gegevensimporteur worden overeengekomen. In 2001, 2004 en 2010 heeft de Europese Commissie verschillende modelcontractbepalingen goedgekeurd en gepubliceerd. De versies uit 2001 en 2004 kunnen worden gebruikt voor doorgiftes door een Europese verwerkingsverantwoordelijke naar een verwerkingsverantwoordelijke buiten de EER. De versie uit 2010 kan worden gebruikt voor doorgiftes van een Europese verwerkingsverantwoordelijke naar een verwerker buiten de EER.
Al geruime tijd wordt met smart gewacht op een update en uitbreiding van deze modelcontractbepalingen. Reden hiervoor is dat in de huidige, gedateerde versies de bepalingen uit de AVG (logischerwijs) nog niet zijn verwerkt. Er wordt daarin nog steeds verwezen naar de ondertussen vervallen Privacyrichtlijn (95/46/EC). Ook is er geen mogelijkheid voor Europese verwerkers om direct modelcontractbepalingen te sluiten met sub-verwerkers buiten de EER. Om dit toch voor elkaar te krijgen is door de Artikel 29 Werkgroep (voorganger van het Europees Comité voor gegevensbescherming, waarin de toezichthouders van alle landen van de EER zijn vertegenwoordigd) een wat omslachtige constructie2 bedacht. Omslachtig, omdat bemoeienis van de Europese verwerkingsverantwoordelijke nog steeds vereist is. Het gieten van modelcontractbepalingen in een meerpartijenovereenkomst is eveneens niet mogelijk, terwijl dit gelet op de snelle ontwikkeling van de digitale samenleving en de daarin betrokken partijen in een behoefte zou voorzien. Kortom, de modelcontractbepalingen voldoen niet langer aan de eisen van de AVG en ook niet aan de behoefte van partijen in de huidige digitale economie.
Onlangs, op 12 november 2020, heeft de Europese Commissie dan eindelijk van zich laten horen. Een conceptbesluit3 voor goedkeuring van nieuwe modelcontractbepalingen, op basis van de regels uit de AVG, is ter consultatie voorgelegd.
Een belangrijk verschil ten opzichte van de vorige versies, is dat de nieuwe modelcontractbepalingen gebruikt kunnen worden door zowel Europese als niet-Europese verwerkingsverantwoordelijken en verwerkers. Dit laatste is het geval als de AVG toch van toepassing is op deze niet-Europese organisaties, namelijk omdat zij goederen en/of diensten aanbieden aan Europese personen of omdat zij het gedrag van Europese personen monitoren. In de modelcontractbepalingen zijn verschillende modules opgenomen die afhankelijk van het toepasselijke scenario kunnen worden gebruikt. Zo is er bijvoorbeeld een module opgenomen voor doorgiften tussen twee verwerkingsverantwoordelijken, maar kan een andere module worden toegepast voor doorgiften tussen een verwerkingsverantwoordelijke en een verwerker. Partijen kunnen de module die van toepassing is op hun situatie selecteren. Het is hierdoor mogelijk om ook andere verwerkingsverantwoordelijken en verwerkers die betrokken zijn bij een bepaalde gegevensverwerking deel uit te laten maken van de modelcontractbepalingen.
Verder is nieuw dat deze modelcontractbepalingen nu ook door verwerkers kunnen worden gebruikt om persoonsgegevens door te geven aan internationale sub-verwerkers4. Een internationale gegevensimporteur die de modelcontractbepalingen heeft aanvaard, maar de persoonsgegevens op zijn beurt verder wil doorgeven aan een andere internationale partij, mag dit enkel doen als deze andere partij ook de modelcontractbepalingen aanvaardt.
De Europese Commissie benadrukt verder dat – in het kader van een transparante verwerking van persoonsgegevens – een kopie van de modelcontractbepalingen desgevraagd gedeeld moet worden met de betrokken personen. Elke betrokken persoon wordt aangemerkt als een derde-begunstigde en kan de partijen uit de modelcontractbepalingen direct aanspreken. Internationale organisaties moeten om deze reden een centraal contactpunt instellen voor eventuele klachten van betrokken personen. Als een klacht niet naar wens wordt afgehandeld, kan een klacht worden ingediend bij de relevante privacytoezichthouder of kan een gerechtelijke procedure worden gestart bij (i) het gerecht van de lidstaat van de Europese Unie dat in de modelcontractbepalingen door de gegevensexporteur en -importeur is aangewezen als bevoegd of (ii) het gerecht van de lidstaat van de Europese Unie waarin de betrokken persoon woonachtig is. De uitkomst daarvan is bindend voor de internationale organisatie. Ook moet aan de betrokken persoon de mogelijkheid worden geboden om kosteloos een onafhankelijke partij in te schakelen voor geschillenbeslechting.
Nieuw is verder dat rekening is gehouden met de bepalingen die voor (sub-)verwerkers gelden uit hoofde van een verwerkersovereenkomst. De internationale (sub-)verwerker die persoonsgegevens ontvangt, moet aan de exporterende verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om te controleren dat aan de modelcontractbepalingen wordt voldaan. Ook moet worden bijgedragen aan audits. Voor het inschakelen van sub-verwerkers moet in de modelcontractbepalingen eenzelfde constructie worden opgenomen als in de verwerkersovereenkomst (een algemene of specifieke toestemming van de verwerkingsverantwoordelijke).
In lijn met het recente Schrems II arrest van het Hof van Justitie van de Europese Unie5 , bepaalt de Europese Commissie dat “aanvullende maatregelen” moeten worden genomen als het lokale toepasselijke recht de gegevensimporteur behoedt om zijn verplichtingen uit de modelcontractbepalingen na te leven. Voor een overzicht van aanvullende maatregelen die mogelijk kunnen worden toegepast in een dergelijk geval, verwijzen we naar de recente aanbevelingen6 van het Europees Comité voor gegevensbescherming op dit punt. De Europese Commissie benadrukt dat dit met name het geval zal zijn als de gegevensimporteur gehoor moet geven aan bindende verzoeken van overheidsinstanties om de doorgegeven persoonsgegevens te delen.
Reacties op het conceptbesluit van de Europese Commissie kunnen tot uiterlijk 10 december 2020 worden gegeven. De huidige modelcontractbepalingen blijven van kracht tot maximaal één jaar nadat de Europese Commissie haar besluit definitief heeft gemaakt. Waar nodig zullen wel al voor die tijd aanvullende maatregelen moeten worden genomen, in lijn met het hierboven aangehaalde Schrems II arrest, om de internationale doorgifte via de huidige modelcontractbepalingen te kunnen (blijven) legitimeren.