Bieden de nieuwe modelcontractsbepalingen wel of geen soelaas voor de praktijk?
FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 210/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC
Inschakelen van bewerkers gevestigd in ‘derde landen’
Afhankelijk van de grootte van een onderneming vinden er op meer of mindere schaal verwerkingen van persoonsgegevens plaats. Echter, lang niet alle verwerkingen gebeuren door een onderneming zelf. Sommige van de verwerkingen worden uitbesteed aan zogenoemde ‘bewerkers’. Bewerkers zijn entiteiten die ten behoeve van een verantwoordelijke persoonsgegevens verwerken zonder aan het rechtstreeks gezag van de verantwoordelijke te zijn onderworpen (zie artikel 1 onder d en e Wet bescherming persoonsgegevens voor de definities van de begrippen ‘verantwoordelijke’ en ‘bewerker’). Denk bijvoorbeeld aan bewerkers die de salarisadministratie bijhouden ten behoeve van een onderneming. Dergelijke bewerkers kunnen gevestigd zijn binnen de Europese Economische Ruimte (hierna ‘EER’) maar ook daarbuiten. Indien een bewerker gevestigd is in een land buiten de EER dat geen passend beschermingsniveau heeft dan zal de verantwoordelijke aan bijkomende voorwaarden moeten voldoen om de internationale doorgifte van persoonsgegevens mogelijk te maken (zie artikel 76 en 77 Wet bescherming persoonsgegevens). Eén van de instrumenten op basis waarvan een internationale doorgifte van persoonsgegevens kan plaatsvinden is in Nederland een vergunning die wordt uitgereikt door de Minister van Justitie. Om deze vergunning te verkrijgen, zal een verantwoordelijke ‘passende waarborgen dienen te nemen ter bescherming van de persoonlijke levenssfeer of de fundamentele rechten en vrijheden van personen’. Eén van de vormen waarin die waarborgen kunnen worden gegoten zijn contractuele maatregelen die worden afgesproken tussen een verantwoordelijke en een bewerker die is gevestigd buiten de EER in een land zonder passend beschermingsniveau. In de praktijk zullen de desbetreffende partijen vaak gebruik maken van de modelcontractsbepalingen zoals die door de Europese Commissie zijn goedgekeurd en waarvan wordt aangenomen dat deze afdoende contractuele waarborgen bevatten.Nieuwe versie van de standaardcontractbepalingen
Op 5 februari 2010 besloot de Europese Commissie om nieuwe modelcontractsbepalingen aan te nemen om zo tegemoet te komen aan een aantal praktische bezwaren. Vanuit de praktijk werd geklaagd over het gebrek aan flexibiliteit die de oude bepalingen kenmerkten. Zo boden de toenmalige contractsbepalingen onvoldoende ruimte voor het contractueel afdichten van meer complexe doorgiftes van persoonsgegevens. Denk bijvoorbeeld aan de situatie dat niet alleen een bewerker wordt ingeschakeld maar dat ook een subbewerker een deel van de gegevensverwerking voor zijn rekening neemt. Deze concrete situatie wordt nu toegelicht in de nieuwe contractsbepalingen.Doorgifte naar een in een derde land gevestigde subbewerker
Maar de modelcontractbepalingen bieden niet alle antwoorden waarop de praktijk hoopte. Denk bijvoorbeeld aan de volgende situatie: de verantwoordelijke voor de gegevensverwerking wil een bewerker inschakelen die is gevestigd binnen de EER. Op zijn beurt wil de bewerker een subbewerker inschakelen die een deel van de verwerking voor zijn rekening neemt en die subbewerker is gevestigd in een derde land. Kunnen de doorgiftes die in het kader van deze dienstverlening plaatsvinden, gebaseerd worden op de nieuwe modelcontractsbepalingen? De nieuwe modelcontractbepalingen sluiten die mogelijkheid uitdrukkelijk uit. Krachtens overweging 23 van het besluit van de Europese Commissie is het besluit uitsluitend van toepassing op de situatie waarin een in een derde land gevestigde gegevensverwerker verwerkingsdiensten uitbesteedt aan een eveneens in een derde land gevestigde subbewerker. De nieuwe modelcontractsbepalingen kunnen dus niet worden toegepast op de situatie dat de bewerker binnen de EER gevestigd is. De Artikel 29 Werkgroep vond het toch nodig om deze situatie uitdrukkelijk te adresseren in document nummer 176. In dit document wordt een antwoord gegeven op de vragen die gerezen zijn naar aanleiding van het van kracht worden (d.d. 15 mei 2010) van de nieuwe modelcontractsbepalingen. De artikel 29 Werkgroep heeft duidelijk oog voor de realiteit. De Artikel 29 Werkgroep benadrukt dat de nieuwe modelcontractsbepalingen niet zonder meer kunnen worden toegepast op een gegevensverwerking die door een binnen de Europese Economische Ruimte gevestigde bewerker – namens de verantwoordelijke – wordt uitbesteed aan een in een derde land gevestigde subbewerker. Maar toch probeert de Artikel 29 Werkgroep een antwoord aan de praktijk te geven hoe deze doorgifte met gebruikmaking van de nieuwe modelcontractbepalingen toch kan plaatsvinden. In afwachting van specifieke modelcontractsbepalingen die de internationale doorgifte mogelijk maken tussen bewerkers gevestigd binnen de Europese Economische Ruimte naar subbewerkers in derde landen, heeft de Artikel 29 Werkgroep drie scenario’s geschetst op basis waarvan deze doorgifte nu toch al rechtmatig kan plaatsvinden:- Door het sluiten van een rechtstreekse overeenkomst - waarin de modelcontractbepalingen zijn geïncorporeerd - tussen de verantwoordelijke en de subbewerker waarbij de subbewerker de rol op zich neemt van ‘data importer’. De specifieke rolverdeling tussen de verantwoordelijke en de bewerker wordt echter niet via de modelcontractsbepalingen geregeld maar die rolverdeling krijgt een plaats in de al bestaande of nog te sluiten algemene ‘services agreement’. In de services agreement kan dan worden volstaan om de ‘klassieke’ bewerkersbepalingen op te nemen (zie artikel 14 Wet bescherming persoonsgegevens). In de praktijk moet de verantwoordelijke dus nog steeds twee aparte overeenkomsten sluiten. Ook moet de verantwoordelijke in Nederland een vergunning voor de doorgifte aanvragen. In de toelichting wordt nog niet de ruimte geboden dat een bewerker deze administratieve taken van de verantwoordelijke overneemt. Dat is ronduit jammer.
- De verantwoordelijke verleent een volmacht aan de bewerker om de modelcontractsbepalingen namens (en in naam van) de eerstgenoemde met de subbewerker te sluiten. De verantwoordelijke blijft in dit geval de gegevensexporteur en de subbewerker wordt de gegevensimporteur. Deze oplossing heeft als voordeel dat de bewerker in ieder geval de administratieve taken kan overnemen maar de verantwoordelijke blijft juridisch nog steeds de eindverantwoordelijke. Nog steeds niet het ideaal…
- Door middel van ad hoc contracten. Het is dan aan de lokale toezichthouder, in Nederland: het College Bescherming Persoonsgegevens, om de gegevensdoorgifte op basis van dit adhoc contract toe te staan.