Vandaag heeft de Europese Commissie de definitieve versie van de nieuwe goedgekeurde modelovereenkomst of Standard Contractual Clauses 404 (SCC's) gepubliceerd voor de doorgifte van persoonsgegevens naar landen buiten de EU. De nieuwe SCC's verschaffen broodnodige helderheid aan bedrijven die persoonsgegevens doorgeven buiten Europa na de uitspraak van het Hof van Justitie van de Europese Unie (HvJ-EU) in het Schrems II-arrest. Wat voor onze klanten het belangrijkst is, is dat ondernemingen met deze nieuwe SCC's nu het ontbreken van eerdere verzoeken om data door overheidsinstanties als een relevante factor kunnen beschouwen bij het bepalen van de benodigde aanvullende bescherming voor gegevensdoorgifte. Deze aanpak is in overeenstemming met zowel de compliancebenadering van de General Data Protection Regulation (GDPR) als de vereisten van het Schrems II-arrest van het HvJ-EU.
Hier volgt een korte uitleg over de nieuwe SCC's, wat ze betekenen in de context van Schrems II, en enkele overwegingen met betrekking tot grensoverschrijdende gegevensoverdracht in de toekomst.
Waarom zijn er nieuwe SCC's gepubliceerd?
In een persbericht over de nieuwe SCC's zei Vice-President for Values and Transparency Vera Jourová:
In Europa willen we open blijven en gegevens laten stromen, op voorwaarde dat de bescherming mee stroomt. De gemoderniseerde goedgekeurde modelovereenkomsten zullen bijdragen aan de verwezenlijking van dit doel: ze bieden ondernemingen een nuttig hulpmiddel om ervoor te zorgen dat ze de wetgeving inzake gegevensbescherming naleven, zowel voor hun activiteiten binnen de EU als voor internationale doorgiften. Dit is een cruciale oplossing in deze sterk verbonden digitale wereld waarin gegevens in een of twee klikken worden doorgegeven."
De SCC's werden voor het laatst bijgewerkt in 2004 (voor doorgifte tussen verwerkingsverantwoordelijken) en 2010 (voor doorgifte tussen verwerkingsverantwoordelijke en verwerker). Sindsdien heeft de GDPR specifieke vereisten ingevoerd die in contracten voor gegevensverwerking moeten worden opgenomen. In de nieuwe SCC's zijn deze voorwaarden van de GDPR opgenomen in het 'data transfer mechanisme'. Bovendien weerspiegelen de nieuwe SCC's de moderne zakelijke realiteit van vandaag waarin bedrijven vaak zowel de rol van verwerkingsverantwoordelijke als die van verwerker vervullen. De nieuwe SCC's zijn modulair van opzet, waardoor het contractproces wordt vereenvoudigd en omvatten ook twee extra soorten doorgiften, namelijk tussen verwerkingsverantwoordelijken en tussen verwerkingsverantwoordelijke en verwerker.
Hoe verhouden de nieuwe SCC's zich tot Schrems II?
In navolging van de Schrems II-uitspraak moeten bedrijven die persoonsgegevens uit de EU doorgeven aan derde landen, zoals de Verenigde Staten, per geval nagaan welke aanvullende maatregelen nodig zijn om de doorgegeven persoonsgegevens te beschermen. Bij de beoordeling moet rekening worden gehouden met de toezichtpraktijken van de overheid en de individuele rechten in de landen waarnaar de gegevens worden doorgegeven. De nieuwe SCC's weerspiegelen deze vereiste en bevatten ook specifieke waarborgmaatregelen, waaronder de eis om overheidsverzoeken voor toegang tot gegevens te bevragen en zo nodig aan te vechten en om de gegevensexporteur op de hoogte te houden. Wij begrijpen dat onze klanten en regelgevers zekerheid eisen dat dit het geval is. In lijn met onze kernwaarden van klantenservice en integriteit publiceert Workday onze principes voor overheidstoegang en een officieel transparantierapport voor onze klanten.
Hoe verhouden de SCC's zich tot de nieuwe goedgekeurde gedragscode, de European Cloud Code of Conduct?
In mei kondigde de Belgische Gegevensbeschermingsautoriteit aan dat ze de EU-gedragscode inzake gegevensbescherming voor leveranciers van clouddiensten (de "EU Cloud CoC") had goedgekeurd, de eerste transnationale EU-gedragscode sinds de GDPR van kracht is geworden. De EU Cloud CoC vult de SCC's aan als compliancemechanisme in het kader van de GDPR, maar fungeert niet als mechanisme voor gegevensdoorgifte. In augustus 2019 was Workday de eerste organisatie die naleving van de EU Cloud CoC aantoonde.
Wat is de volgende stap?
We zijn de nieuwe SCC's grondig aan het bekijken en zullen onze klanten deze contractuele verbintenissen ruim binnen de vereiste termijn aanbieden (voor bestaande overeenkomsten bedraagt deze termijn 18 maanden). We verwachten ook dat het Europees Comité voor gegevensbescherming later deze maand definitieve aanbevelingen zal doen over aanvullende maatregelen voor gegevensdoorgifte. We zijn optimistisch dat het ook rekening zal houden met het al dan niet ontvangen van formele verzoeken van overheidsinstanties om persoonsgegevens. Afgaande op zowel het verleden als bevestigende regeringsverklaringen zijn financiële, analytics- en HR-data van ondernemingen van weinig belang voor overheidsinstanties.
Daarnaast blijven we optimistisch dat dit jaar een vervolgkader voor het Privacy Shield zal worden overeengekomen. Intussen heeft Workday onze bestaande Privacy Shield-certificering verlengd, omdat we ons blijven houden aan de commitment die we aan de FTC en onze klanten hebben gedaan over de verwerking van persoonsgegevens volgens de Privacy Shield-beginselen.
We willen vooral benadrukken dat Workday erop vertrouwt dat de Amerikaanse en Europese regeringen zullen blijven samenwerken om grensoverschrijdende gegevensdoorgifte mogelijk te maken. De publicatie van de bijgewerkte Standard Contractual Clauses, samen met de voortdurende inspanningen van de twee regeringen, ondersteunt dat doel.