Volgens de GDPR moet u, om persoonsgegevens buiten de Europese Unie door te geven, ervoor zorgen dat er specifieke gegevensbeschermingsnormen gelden. Zijn die er niet, dan is doorgifte niet toegestaan.
Om overdrachten mogelijk te maken zijn er echter verschillende rechtsgrondslagen waarop u zich kunt beroepen. Een daarvan zijn de Standaard Contractuele Clausules (SCC’s).
In deze korte gids leggen we alles uit wat u moet weten over standaardcontractbepalingen, wanneer u mogelijk een beroep moet doen op standaardcontractbepalingen en wat u moet doen om gegevens buiten de EU door te geven.
Standaardcontractbepalingen (SCC’s) zijn door de Europese Commissie goedgekeurde standaardbepalingen die de doorgifte van gegevens buiten de Europese Economische Ruimte (EER) mogelijk maken.
Beide bij de overdracht betrokken partijen moeten een overeenkomst ondertekenen die de modelcontractbepalingen bevat, zonder de tekst ervan te wijzigen. Volgens de Europese Commissie kunnen de standaardcontractbepalingen in elke “contractuele regeling” tussen de partijen worden opgenomen.
👉 Standaardcontractbepalingen werden voor het eerst genoemd in de Richtlijn gegevensbescherming van 1995. Volgens deze richtlijn waren gegevensoverdrachten buiten de EU alleen toegestaan wanneer aan bepaalde gegevensbeschermingsnormen werd voldaan, of wanneer er standaardcontractbepalingen bestonden. In 2018 heeft de GDPR de gegevensbeschermingsrichtlijn vervangen, waarbij dezelfde vermelding van VCA’s is behouden.
👉 Snel vooruit naar juli 2020: het Schrems II-arrest maakte de overdrachtsovereenkomst tussen de EU en de VS, het Privacy Shield, ongeldig. SCC’s zijn essentieel geworden voor elke vorm van gegevensoverdracht tussen deze landen. Zij zijn echter niet bindend voor de regering van de VS, maar alleen voor het bedrijf dat de overeenkomst ondertekent.
👉 Om de huidige uitdagingen het hoofd te bieden en de doorgifte van gegevens tussen de EU en de VS te vergemakkelijken, heeft de Europese Commissie de clausules herzien. Op 4 juni 2021 heeft de Commissie twee reeksen modelcontractbepalingen vastgesteld:
SCC’s zijn niet altijd nodig.
In feite moet je eerst nagaan of er een adequaatheidsbesluit bestaat. Wanneer het niveau van gegevensbescherming gelijk is aan dat van de GDPR, vaardigt de Europese Commissie meestal een adequaatheidsbesluit uit. In dat geval zijn er geen standaardcontractbepalingen nodig.
💡 Tot nu toe zijn de enige landen waarvoor de Europese Commissie een besluit inzake adequaatheid heeft genomen: Andorra, Argentinië, Canada (commerciële organisaties), Faeröer, Guernsey, Israël, het eiland Man, Japan, Jersey, Nieuw-Zeeland, de Republiek Korea en Zwitserland, the Verenigd Koninkrijk en Uruguay.
Zodra u zeker bent van dit aspect, moet u ook nagaan of de SCC’s het mechanisme zijn dat van toepassing is op uw activiteit. Zo ja, dan moet u een overeenkomst met standaardcontractbepalingen ondertekenen.
Als je gegevens doorgeeft buiten de EER, moet je dat ook vermelden in je privacybeleid. Met iubenda is dat heel eenvoudig:
Zoals wij reeds vermeldden, kunnen uw modelcontractbepalingen worden toegevoegd aan elke overeenkomst die u hebt met de partij waaraan u gegevens overdraagt, of ze kunnen een afzonderlijk document zijn.
Het opstellen van uw SCC’s is eenvoudiger dan u denkt, omdat u de door de Europese Commissie voorgestelde tekst strikt moet volgen.
Ja, Standaard Contractuele Clausules zijn niet de enige manier waarop u gegevens buiten de EER kunt doorgeven, u hebt andere alternatieven:
Als u gegevens overdraagt, moet u dat vermelden in uw privacybeleid! Als u dat niet doet, kan uw activiteit ongeldig worden.
Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.
