GDPR nieuws om het nieuwe jaar mee in te duiken: Brexit en Standard Contract Clauses

2020 was een woelig jaar voor de ganse wereld om evidente redenen, maar ook specifiek in GDPR ging het jaar niet ongemerkt voorbij.  Wie afgelopen jaar onze blog gevolgd heeft, heeft zonder twijfel gemerkt dat heel wat bedrijven in Europa, soms bijzonder hoge, boetes opliepen.  Google, Amazon, Marriott, Ticketmaster, H&M, British Airways, Vodafone, … Het waren vaak niet de minsten die tegen de lamp liepen.  Bovendien was er behoorlijk wat ophef over de impact van het Planet 49 arrest en afgelopen zomer ook het Schrems II arrest.

Op de valreep bracht 2020 nog twee belangrijke nieuwigheden die we je niet willen onthouden bij de start van het nieuwe jaar. Brexit is een feit en tegen alle verwachtingen in werd toch nog een Brexitdeal gevonden, die ook gegevensexport naar het VK omvat. Daarnaast, maar in dezelfde sfeer van data export, publiceerde de Europese Commissie haar langverwachte draft versie van de nieuwe Standard Contract Clauses voor gegevensexport buiten de EER.  We vatten beiden kort samen hieronder.

Brexit_Standard_Contract_Clauses

De impact van de Brexitdeal op gegevensexport 

Het leek wel The never ending story, maar kijk, op de absolute valreep hebben de EU en het VK toch nog een akkoord bereikt over (de grote lijnen van) hun samenwerking na de Brexit.  In dit akkoord zit ook één korte passage over gegevensbescherming en gegevensexport tussen het VK en de EU.

Vanaf 1 januari 2021 is het VK immers een ‘derde land’ in de zin van GDPR.  We legden al eerder uit dat dat zonder Brexit deal zou betekenen dat het VK op vlak van data export plots gelijk gesteld zou moeten worden met Rusland of China, aangezien het VK niet automatisch op de lijst met “veilige” landen opgenomen kan worden, die geacht worden een gelijkwaardig, adequaat databeschermingsbeleid te voeren als de EU zelf.  Dat zou betekenen dat iedereen die data verzendt naar het VK in allerijl op zoek zou moeten gaan naar de nodige alternatieve zekerheden om veilig data te exporteren.  In de meeste gevallen zou dit betekenen dat er overeenkomsten voorzien zouden moeten worden op basis van de Standard Contract Clauses van de Europese Commissie, eventueel aangevuld met de nodige bijkomende waarborgen in het licht van het Schrems II arrest.  Bovendien zouden bestaande Binding Corporate Rules vervangen moeten worden als die destijds door de Britse ICO (die niet langer een Europese gegevensbeschermingsautoriteit is) goedgekeurd werden en zouden heel wat Britse bedrijven een vertegenwoordiger in de EU moeten aanstellen.  

Het Brexitakkoord paste hier gelukkig op de valreep een mouw aan in de vorm van een engagement vanwege de EU om het VK snel een adequaatheidsbeslissing te verlenen en om in afwachting daarvan het VK gedurende een periode van alvast maximaal zes maanden een tijdelijke adequaatheid te verlenen die gegevensuitwisseling met het VK zonder verdere formaliteiten alvast tijdelijk verder mogelijk maakt in afwachting van een formele erkenning als veilig derde land.  De afspraak werkt overigens in beide richtingen, dus ook voor data die van het VK naar de EU stroomt. Gegevensuitwisseling met het VK kan -voorlopig althans- dus ongestoord en zonder verdere juridische of administratieve ingrepen verdergaan. 

Er bestaat voorlopig nog één kleine reserve: hoewel de Brexitovereenkomst voorlopig van kracht is sinds 1 januari 2021, moet deze nog steeds formeel goedgekeurd worden door de Europese Raad en door het Europees Parlement voordat ze kan worden geratificeerd en volledig kan worden uitgevoerd. De deal moet bovendien ook nog goedgekeurd worden door het Britse parlement.  Als het akkoord alsnog niet goedgekeurd raakt, dreigen de eerder voorziene problemen rond gegevensuitwisseling na Brexit binnenkort toch nog de kop op te steken…

Nieuwe Standard Contract Clauses

Even langverwacht als de Brexitdeal waren de nieuwe versies van de Standard Contract clauses voor gegevensexport buiten de EU.  De oude versies waren immers niet afgestemd op de terminologie uit de GDPR en waren erg onhandig in gebruik.  Bovendien maakte het Schrems II arrest afgelopen zomer duidelijk dat de bestaande SCC’s onvoldoende zijn als juridische basis voor data export buiten de EER (de EU, uitgebreid met Noorwegen en Liechtenstein).  De Europese Commissie werkte dan ook al een hele tijd aan een update van de bestaande contractclausules.

Op 12 november 2020 heeft de Europese Commissie intussen haar voorstel van aangepaste en aangevulde SCC’s publiek gemaakt voor consultatie en de voorziene consultatieperiode is inmiddels kort voor Kerst afgesloten.  De Europese Commissie verwerkt nu de ontvangen feedback in haar finale versies en wacht daarvoor onder andere ook nog even op het finale advies van de EDPB over passende bijkomende waarborgen bij gegevensexport (volgend op het Schrems II arrest).  De intentie van de Commissie is om die waarborgen meteen contractueel in te kapselen in de SCC’s, om op die manier te zorgen voor een vlotte en veilige gegevensexport buiten de EER op basis van de nieuwe SCC’s zonder bijkomende rompslomp.

De Commissie voorziet voor bedrijven een overgangsperiode van 12 maanden vanaf de datum waarop de finale versie publiek zal worden gemaakt om de nieuwe SCC’s te implementeren.  Wie data exporteert op basis van de oude SCC’s of op basis van het inmiddels nietig verklaarde Privacy Shield houdt dus best de website van de Commissie best in de gaten.

De nieuwe (voorlopig nog draft) SCC’s zijn modulair opgebouwd. Er is één centrale versie van de SCC die op basis van bijkomende tekstmodules aangepast kan worden om vier hypotheses te dekken:

  • Uitwisseling tussen twee (of meer) controllers 
  • Overdracht van een controller naar een (of meer) processors
  • Overdracht van een processor naar een (of meer) (sub-)processors
  • Overdracht  van een processor naar een (of meer) controllers

De ontwerpen voor de nieuwe SCC’s leggen veel meer dan vroeger de focus op transparantie, ongetwijfeld ingegeven door het Schrems II arrest.  Bij doorgifte van controller naar controller bijvoorbeeld moet de gegevensimporteur heel wat informatie verstrekken aan de betrokkenen (rechtstreeks of via de gegevensexporteur), zoals de identiteit van de gegevensimporteur en details over de voorgenomen verwerking.

De draft SCC’s bevatten ook de verplichting om bij verdere gegevensoverdracht door de gegevensimporteur aan een derde partij (zogenaamde “verdere doorgifte”), ofwel met deze derde ook de overeenkomstige SCC te tekenen ofwel een andere rechtsgrond te voorzien.

De SCC’s voorzien ook standaard de garantie door de gegevensimporteur dat geen enkele lokale wet zijn taak zal beïnvloeden. Partijen moeten overigens voorafgaand een effectbeoordeling opstellen precies ter verificatie van de mogelijke impact van lokale wetgeving.  De gegevensimporteur moet bovendien de gegevensexporteur – en indien mogelijk de betrokkenen – onmiddellijk verwittigen van inzageverzoeken door lokale overheden en om bijvoorbeeld ook de nodige juridische actie te ondernemen tegen onwettige inzageverzoeken.

De SCC’s krijgen ook een uitgebreide bijlage mee deze keer.  Daarin worden nog concrete aanvullingen verwacht door de Europese Commissie met minimale technische en organisatorische maatregelen om data te beschermen bij export.  Die aanvullingen zullen gebaseerd zijn op het finale advies van de EDPB over precies die maatregelen dat eerstdaags zal verschijnen en dat er komt in opvolging van het Schrems II arrest.  

Vooruitzichten

De modernisering van de Standard Contract Clauses is een stap vooruit inzake vlotte data export buiten de EER, maar de vrees blijft toch bestaan dat dit op termijn onvoldoende is.  De meeste juristen kijken ongerust uit naar een volgend Schrems arrest, dat gericht zou zijn tegen de SCC’s in plaats van zoals afgelopen jaar tegen het Privacy Shield.  De onderliggende problematiek blijft immers dezelfde: geen enkele contractuele of structurele afspraak kan zekerheid geven over dataveiligheid buiten de EU.  Buitenlandse veiligheidsdiensten hebben op grote schaal, al dan niet legaal, toegang tot Europese data en ontvangers buiten de EER kunnen nooit garanderen dat dat voorkomen zou kunnen worden, ook niet met nieuwe en strengere SCC’s…

Niettemin doe je er best aan om de nieuwe SCC’s zo snel mogelijk te implementeren zodra ze finaal zijn.  Hoe je best omgaat met data export en hoe je zorgt voor een veilige en juridisch (zo goed mogelijk) sluitende context, hebben we al uiteengezet in een aantal webinars (waarvan de opname op ons Youtube kanaal beschikbaar is) en op onze website (met een handige questionnaire die je kan uitsturen naar partners buiten de EER om in te schatten of de data die je met hen uitwisselt veilig en correct verwerkt wordt).

Vragen over internationale data transfers of over GDPR in het algemeen?

We maken graag tijd voor een online kennismaking die je zelf kan inplannen op deze link.  Je kan natuurlijk ook altijd mailen of bellen naar Bart Van den Brande op bart@siriuslegal.be of op +32 492 249 516.