Brussel, 15 januari - Het Europees Comité voor gegevensbescherming (“de EDPB”) en de Europese Toezichthouder voor gegevensbescherming (“de EDPS”) hebben gezamenlijke adviezen over twee reeksen SCC’s vastgesteld: voor contracten tussen verwerkingsverantwoordelijken en verwerkers en voor de doorgifte van persoonsgegevens aan derde landen.
De SCC’s voor contracten tussen verwerkingsverantwoordelijken en verwerkers zullen een EU-breed effect hebben en moeten zorgen voor volledige en EU-brede harmonisatie en rechtszekerheid op dit gebied.
Andrea Jelinek, voorzitter van de EPDB: “De EDPB en de EDPS zijn tevreden met deze SCC’s voor contracten tussen verwerkingsverantwoordelijken en verwerkers en beschouwen deze als een uniform, solide en EU-breed verantwoordingsinstrument dat de naleving van zowel de algemene verordening gegevensbescherming (AVG) als de EU-gegevensbeschermingsverordening zal vergemakkelijken. De EDPB en de EDPS vragen onder meer dat de partijen voldoende zekerheid krijgen over de situaties waarin zij zich op deze SCC’s kunnen beroepen, en benadrukken dat situaties met betrekking tot doorgiften buiten de EU niet mogen worden uitgesloten.”
Er werden verschillende wijzigingen aangevraagd om de tekst duidelijker te maken en praktisch bruikbaar voor het dagelijkse werk van de verwerkingsverantwoordelijken en verwerkers. Het gaat onder meer om de wisselwerking tussen de twee documenten, de zogenaamde “docking-bepaling”, op grond waarvan niet bij de SCC’s aangesloten entiteiten toegang tot de SCC’s krijgen, en andere aspecten in verband met de verplichtingen van verwerkers. Daarnaast stellen de EDPB en de EDPS voor om in de bijlagen bij de SCC’s de rollen en verantwoordelijkheden van elke partij met betrekking tot elke verwerkingsactiviteit zoveel mogelijk te verduidelijken. Elke vorm van dubbelzinnigheid zou het voor verwerkingsverantwoordelijken en verwerkers moeilijker maken om hun verplichtingen uit hoofde van het verantwoordingsbeginsel na te komen.
Wojciech Wiewiórowski, EDPS: “We zijn ervan overtuigd dat deze SCC’s het voor verwerkingsverantwoordelijken en verwerkers gemakkelijker zullen maken hun verplichtingen na te komen, zowel uit hoofde van de AVG als uit hoofde van het rechtskader van de instellingen en organen van de EU. Bovendien hopen wij dat deze SCC’s zullen zorgen voor verdere harmonisatie en rechtszekerheid voor personen en hun persoonsgegevens. In deze context streven wij ernaar deze documenten zo toekomstbestendig mogelijk te maken.”
De ontwerp-SCC’s voor de doorgifte van persoonsgegevens aan derde landen overeenkomstig artikel 46, lid 2, punt c), AVG zullen in de plaats komen van de bestaande SCC’s voor internationale doorgiften die zijn vastgesteld op basis van Richtlijn 95/46 en moesten worden bijgewerkt in het licht van de vereisten van de AVG. Daarnaast is in de ontwerp-SCC’s rekening gehouden met het Schrems II-arrest van het HvJ-EU en is meer aandacht besteed aan het wijdverbreide gebruik van nieuwe en complexere verwerkingsactiviteiten waarbij vaak meerdere gegevensimporteurs en -exporteurs betrokken zijn. De nieuwe SCC’s bevatten met name specifiekere waarborgen ingeval de wetgeving van het land van bestemming van invloed is op de naleving van de bepalingen, met name in het kader van bindende verzoeken van overheidsinstanties om bekendmaking van persoonsgegevens.
Wojciech Wiewiórowski, EDPS: “Gezien onze praktische ervaring hebben wij deze opmerkingen gemaakt om deze SCC’s te verbeteren en ervoor te zorgen dat voor persoonsgegevens van EU-burgers die aan derde landen worden doorgegeven, een in wezen gelijkwaardig beschermingsniveau geldt. We zijn van mening dat deze suggesties en wijzigingen van cruciaal belang zijn om deze doelstellingen in de praktijk te bereiken.”
In het algemeen zijn de EDPB en de EDPS van mening dat de ontwerp-SCC’s een hoger beschermingsniveau voor betrokkenen bieden. De EDPB en de EDPS zijn met name ingenomen met de specifieke bepalingen die bedoeld zijn om een aantal van de belangrijkste kwesties die in het Schrems II-arrest aan de orde zijn gesteld, aan te pakken. Niettemin zijn de EDPB en de EDPS van mening dat een aantal bepalingen kan worden verbeterd of verduidelijkt, zoals die inzake het toepassingsgebied van de SCC’s, bepaalde rechten ten behoeve van derden, bepaalde verplichtingen met betrekking tot verdere doorgiften, aspecten van de beoordeling van de wetgeving van derde landen inzake toegang van overheidsinstanties tot openbare gegevens, en de kennisgeving aan de toezichthoudende autoriteit.
Andrea Jelinek, voorzitter van de EDPB: “De voorwaarden voor het gebruik van de SCC’s moeten duidelijk zijn voor de organisaties, en de betrokkenen moeten effectieve rechten en rechtsmiddelen krijgen. Daarnaast moeten de SCC’s duidelijkheid verschaffen over de verdeling van de rollen en de aansprakelijkheid tussen de partijen. Wat betreft de noodzaak om in bepaalde gevallen aanvullende ad-hocmaatregelen te treffen om ervoor te zorgen dat het beschermingsniveau voor de betrokkenen in wezen gelijkwaardig is aan dat in de EU, zullen de nieuwe SCC’s samen met de aanbevelingen van de EDPB over aanvullende maatregelen moeten worden gebruikt.”
Indien de definitieve versie van de aanbevelingen van de EDPB wordt vastgesteld vóór het SCC-besluit van de Commissie, verzoeken de EDPB en de EDPS de Commissie te verwijzen naar die definitieve versie. Dit document is voorgelegd voor openbare raadpleging tot en met 21 december 2020 en kan op basis van de resultaten van die raadpleging nog verder worden gewijzigd.
Noot voor de redactie:
Alle documenten die tijdens de plenaire zitting van het Europees Comité voor gegevensbescherming worden goedgekeurd, worden onderworpen aan de nodige juridische, taalkundige en formatteringscontroles en zullen op de website van het comité beschikbaar worden gesteld zodra deze controles zijn afgerond.
EDPB_Press Release_statement_2021_01