Privacy Talk

Pdf versie Archief Schrijf je in
Uw business • Juni 2021

27 december 2022?! Deadline voor de nieuwe modelcontractbepalingen.

Wat u moet weten.

Op 7 juni 2021 werden de lang verwachte nieuwe modelcontractbepalingen voor de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (‘EER’) gepubliceerd in het Publicatieblad van de Europese Unie.

Bij wijze van opfrissing, ondernemingen mogen persoonsgegevens enkel doorgeven buiten de EER wanneer de persoonsgegevens daar een bescherming genieten die gelijkwaardig is aan de bescherming binnen de EER. Ook opslag van persoonsgegevens buiten de EER, en (loutere) toegang van buiten de EER, vallen hieronder. Een gelijkwaardige bescherming kan op verschillende manieren verzekerd worden. De modelcontractbepalingen van de Europese Commissie vormen één van die manieren: één of meer ‘verzendende’ ondernemingen sluiten een overeenkomst met één of meer ‘ontvangende’ ondernemingen overeenkomstig de modelcontractbepalingen.

De ‘oude’ modelcontractbepalingen, vastgesteld voor de inwerkingtreding van de AVG, voorzagen in twee sets van bepalingen: één voor doorgiften tussen een EER-verwerkingsverantwoordelijke en een niet-EER-verwerkingsverantwoordelijke en één voor doorgiften tussen een EER-verwerkingsverantwoordelijken en een niet-EER-verwerker. De nieuwe modelcontractbepalingen voegen twee (welgekomen) sets toe: één voor doorgiften tussen een EER-verwerker en een niet-EER-verwerker en één tussen een EER-verwerker en een niet-EER-verwerkingsverantwoordelijke.

De modelcontractbepalingen voorzien nu in (1) algemene bepalingen die van toepassing zijn op alle (vier) voormelde types van doorgiften, (2) modulaire bepalingen die geselecteerd moeten worden in functie van het type van doorgifte en (3) drie annexen die door de partijen moeten worden ingevuld. Enkele blikvangers:

  • De Europese Commissie heeft de modelcontractbepalingen in lijn gebracht met de AVG en de Schrems II rechtspraak van het Hof van Justitie. Zo bevatten de modelcontractbepalingen de nodige taal overeenkomstig artikels 28.3 en 28.4 AVG. Waar relevant, is er dus geen afzonderlijke verwerkersovereenkomst meer noodzakelijk. Tegelijkertijd lijkt dit ook de mogelijkheid weg te nemen voor partijen om zelf zo’n overeenkomst te onderhandelen. Conform de Schrems II rechtspraak bevatten de modelcontractbepalingen verder ook de vermelding dat naast de modelcontractbepalingen bijkomende waarborgen nodig kunnen zijn om een gelijkwaardig beschermingsniveau te garanderen (zie deze Privacy Talk).
  • Meer dan twee partijen kunnen toetreden tot de nieuwe modelcontractbepalingen. Er is ook een toetredingsclausule voorzien. Dit is goed nieuws voor (complexe) verwerkingen waarbij meerdere partijen betrokken zijn en voor intra-groep doorgiften van persoonsgegevens. De betrokken partijen moeten worden opgenomen in annex I bij de modelcontractbepalingen.
  • De partijen moeten in annex II een overzicht opnemen van de technische en organisatorische maatregelen van één of meerdere van de partijen. De modelcontractbepalingen bevatten een lijst met voorbeelden van dergelijke maatregelen. Helaas adviseert de Europese Commissie niet wanneer het passend is welke maatregelen te gebruiken.

De nieuwe modelcontractbepalingen treden in werking op 27 juni 2021. Voor nieuwe doorgiften kunnen de oude modelcontractbepalingen desalniettemin nog gebruikt worden tot 27 september 2021 (al lijkt het weinig zinvol om dat te doen). Voor bestaande doorgiften kunnen de oude modelcontractbepalingen nog gebruikt worden tot 27 december 2022.

Tot slot is het belangrijk om te herhalen dat ondernemingen die een beroep doen op de (oude dan wel nieuwe) modelcontractbepalingen, als gevolg van het Schrems II arrest, een data transfer impact analyse moeten uitvoeren (zie deze Privacy Talk).

Wat u moet doen.

Met de publicatie van de nieuwe modelcontractbepalingen, en de vereiste van een data transfer impact analyse als gevolg van de Schrems II rechtspraak, is er geen reden meer om een afwachtende houding aan te nemen. Actie is vereist!

We hebben het al eerder aangeraden in onze Privacy Talk:

  • Identificeer (‘map’) de internationale doorgiften van persoonsgegevens door uw onderneming. Vergeet hierbij de ruime draagwijdte van het concept ‘doorgifte’ niet. Identificeer zowel doorgiften naar derde partijen als intra-groep doorgiften. Ook alle verdere doorgiften moeten in kaart worden gebracht (bijv. wanneer een leverancier buiten de EER op zijn beurt de persoonsgegevens doorgeeft aan een onderaannemer in een land buiten de EER).
  • Ga na of die internationale doorgiften absoluut noodzakelijk zijn en, indien zo, welk transfer mechanisme gebruikt kan worden voor de doorgiften: als er een adequaatheidsbesluit of één van de uitzonderingen in artikel 49 AVG van toepassing is, hoeft uw onderneming verder niets te doen. Het is interessant om op te merken dat de rechter-rapporteur in de Schrems zaken (Von Danwitz) eerder dit jaar op een seminarie van het Duitse Ministerie van Binnenlandse zaken heeft verklaard (in eigen naam) dat de uitzonderingen in artikel 49 AVG in het bijzonder interessant zijn voor internationale doorgiften binnen een intra-groep context. De rechter-rapporteur suggereert dat de mogelijkheden van artikel 49 AVG nog niet ten volle zijn verkend en dat ze niet al te eng mogen worden geïnterpreteerd.
  • Indien uw onderneming gebruik maakt van de modelcontractbepalingen, zijn een data transfer impact analyse en eventuele bijkomende waarborgen noodzakelijk (zie deze Privacy Talk). Het is aan te raden om u te laten bijstaan door experts in deze stap.
  • Implementeer vanaf 27 juni 2021 de nieuwe modelcontractbepalingen voor alle nieuwe doorgiften en vervang de oude modelcontractbepalingen voor 27 december 2022.

Raadpleeg onze website of contacteer een van onze medewerkers voor vragen of meer informatie:

Raadpleeg onze 'GDPR toolkit'

GDPR toolkit

Ontvang onze ‘Privacy Talk’ direct in uw mailbox

Schrijf je in

Ontdek de vorige uitgaven in het Archief

Archief
In the Picture - Februari 2025

Beter een goede gids voor de naleving van het mededingingsrecht
Books

Share Purchase Agreements - Belgian Law and Practice
Articles

Standpunt revisited: Kunnen notulen worden opgesteld in een andere taal dan één van de nationale talen?
More Newsletter

Log in op jouw account

Paswoord vergeten? Nog geen lid?

Paswoord vergeten?

Vraag een nieuw paswoord aan door jouw e-mailadres op te geven.

Log in op jouw account

Paswoord reset

Geef jouw nieuwe paswoord in.

Paswoord registratie

Geef een paswoord in om jouw persoonlijke webpagina te beschermen.

Activeer jouw account

Activeer jouw account door jouw e-mailadres op te geven.

Bedankt

Je zal een e-mail ontvangen met een link om een nieuw paswoord in te geven.

Close

Bedankt

Jouw nieuwe paswoord werd succesvol opgeslagen.

Close
Close

Cookies

This website uses cookies to improve your browsing experience and to better tailor the website to your preferences. For more information about cookies and the list of cookies used on this website, see our Cookie Statement.

Below you can indicate your cookie preferences:

ON

Essential cookies are cookies that are necessary for the correct functioning of the website (e.g., to avoid overload on the website, keeping it functional and accessible). These cookies can be placed without your consent.

ON

Functional cookies are cookies that are necessary to improve your browsing experience or to provide a functionality explicitly requested by you (e.g. remembering your settings). These cookies can also be placed without your consent.

Analytical cookies are cookies that collect information about how you use the website to improve search engine hits and the functioning of the website (e.g. we see how visitors move around the website when they are using it to ensure that visitors find what they are looking for easily). These cookies are only placed if you have given your consent.

Advertising cookies are cookies that collect information about your surf and search behaviour in order to offer you personalised advertising in ad spaces on websites based on your personal interests. These cookies are only placed if you have given your consent.

Social media cookies are cookies that make it possible to share certain features from the website on social media networks (e.g. Facebook). Furthermore, these cookies collect information about your surf and search behaviour on the website in order to offer you personalised promotions and advertising about our products on these social media networks. These cookies are only placed if you have given your consent. It is possible that these social media networks also use the information they collect through these cookies for their own purposes. You can find more information about this in the privacy statements of the respective social media networks.

   

You can always change these preferences via your Cookie preferences.