De doorgifte van persoonsgegevens aan niet-EU-landen: modelcontractbepalingen

 

SAMENVATTING VAN:

Besluit 2010/87/EU betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG

WAT IS HET DOEL VAN HET BESLUIT?

In het besluit worden modelcontractbepalingen vastgelegd die kunnen worden gebruikt door verwerkingsverantwoordelijken* (exporteurs) in de EU die persoonsgegevens* doorgeven aan gegevensverwerkers* (importeurs) die buiten de EU of de EER zijn gevestigd, om voldoende waarborgen voor gegevensbescherming te bieden en op die manier te voldoen aan de eisen van de EU-wetgeving voor gegevensbescherming (de algemene verordening gegevensbescherming, Verordening (EU) 2016/679, zie samenvatting).

KERNPUNTEN

De modelcontractbepalingen zijn als volgt beschreven in de bijlage bij het besluit. De modelcontractbepalingen betreffen uitsluitend de gegevensbescherming. Ze kunnen door de partijen worden opgenomen in een breder contract of worden aangevuld met andere bepalingen of aanvullende waarborgen, mits deze niet direct of indirect in strijd zijn met de in dit besluit vastgestelde modelcontractbepalingen.

Bepaling 1: Definities

Er worden definities gegeven van de kernbegrippen die in de modelcontractbepalingen worden gebruikt.

Bepaling 2: Bijzonderheden betreffende de doorgifte

De partijen moeten in een bijlage bij de contractbepalingen de bijzonderheden betreffende de doorgifte omschrijven, met inbegrip van de relevante activiteiten van de gegevensimporteur en -exporteur, de categorieën doorgegeven persoonsgegevens en de verwerkingswerkzaamheden die de doorgegeven persoonsgegevens zullen ondergaan.

Bepaling 3: Derdenbeding

Op grond van deze bepaling kunnen de betrokkenen meerdere bepalingen als derde begunstigden tegenover de gegevensexporteur, gegevensimporteur of subverwerker afdwingen. Voorts is in deze bepaling voorzien dat de partijen zich er niet tegen verzetten dat een betrokkene door een vereniging of andere instelling wordt vertegenwoordigd, indien dit in het nationale recht is toegestaan.

Bepaling 4: Verplichtingen van de gegevensexporteur

In deze bepaling zijn de contractuele verplichtingen van de gegevensexporteur vastgelegd. De gegevensexporteur moet ermee instemmen en garanderen dat:

• de verwerking van de persoonsgegevens uitsluitend geschiedt in overeenstemming met het recht inzake gegevensbescherming;
• hij de gegevensimporteur instructie geeft de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met het recht inzake gegevensbescherming en de bepalingen te verwerken;
• hij voldoende waarborgen biedt (en naleeft) ten aanzien van de technische en organisatorische beveiligingsmaatregelen om persoonsgegevens te beschermen tegen vernietiging, hetzij bij ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking via een netwerk geschiedt;
• de betrokkene ervan in kennis is gesteld wanneer bijzondere categorieën gegevens kunnen worden doorgegeven naar een niet-EU-land dat geen passende gegevensbescherming biedt;
• hij de van de gegevensimporteur ontvangen kennisgeving dat deze niet in staat is om aan de bepalingen te voldoen, aan de toezichthoudende autoriteit zal doorzenden, wanneer de gegevensexporteur besluit de doorgifte voort te zetten;
• hij op verzoek een afschrift van de bepalingen ter beschikking van de betrokkene zal stellen, samen met een beknopte beschrijving van de beveiligingsmaatregelen;
• in geval van subverwerking de subverwerker ten minste hetzelfde beschermingsniveau voor de persoonsgegevens moet waarborgen als de gegevensimporteur.

Bepaling 5: Verplichtingen van de gegevensimporteur

In deze bepaling zijn de contractuele verplichtingen van de gegevensimporteur vastgelegd. De gegevensimporteur moet ermee instemmen en garanderen dat:

• hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de bepalingen verwerkt;
• hij geen reden heeft aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen;
• hij onmiddellijk elke wijziging in deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de bepalingen opgenomen waarborgen en verplichtingen doorgeeft, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
• hij vóór de verwerking van de doorgegeven persoonsgegevens de gespecificeerde technische en organisatorische beveiligingsmaatregelen treft;
• hij de gegevensexporteur onmiddellijk ervan in kennis stelt wanneer een wetshandhavingsinstantie een verzoek om verstrekking van persoonsgegevens heeft gedaan, iemand per ongeluk of op ongeoorloofde wijze toegang tot de gegevens heeft gehad en wanneer hij van de betrokkenen rechtstreeks een verzoek heeft ontvangen, waarop hij niet ingaat, tenzij hem dit anderszins is toegestaan;
• hij alle vragen van de gegevensexporteur zo spoedig mogelijk beantwoordt en het advies van de toezichthoudende autoriteit volgt;
• hij op verzoek van de gegevensexporteur zijn verwerkingsvoorzieningen beschikbaar stelt voor controle van de onder deze bepalingen vallende verwerkingsactiviteiten;
• hij op verzoek een afschrift van de bepalingen ter beschikking van de betrokkene zal stellen, samen met een beknopte beschrijving van de beveiligingsmaatregelen;
• hij alleen een subverwerker inhuurt als hij van tevoren schriftelijke toestemming van de gegevensexporteur heeft gekregen.

Bepaling 6: Aansprakelijkheid

Op grond van deze bepaling moeten de partijen overeenkomen dat elke betrokkene die ten gevolge van een schending van de verplichtingen schade heeft geleden, het recht heeft van de gegevensexporteur vergoeding voor de geleden schade te ontvangen.

Bepaling 7: Bemiddeling en rechtsmacht

De gegevensimporteur moet ermee instemmen dat, indien de betrokkene tegen hem rechten ten behoeve van derden en/of vorderingen tot schadevergoeding inroept, de gegevensimporteur de beslissing van de betrokkene aanvaardt om het geschil te onderwerpen aan onafhankelijke bemiddeling of om het geschil voor te leggen aan een rechterlijke instantie in het EU-land waar de gegevensexporteur is gevestigd (met het recht om op grond van ander nationaal of internationaal recht verhaal te zoeken).

Bepaling 8: Samenwerking met de toezichthoudende autoriteiten

Deze bepaling regelt de samenwerking met de bevoegde toezichthoudende autoriteit, door erin te voorzien dat:

• de toezichthoudende autoriteit bevoegd is bij de gegevensimporteur en eventuele subverwerkers een controle te verrichten;
• de gegevensimporteur ermee instemt de gegevensexporteur in kennis te stellen van wetgeving die de uitvoering van controles op de gegevensimporteur verbiedt. In een dergelijk geval mag de gegevensexporteur de gegevensdoorgifte opschorten of het contract beëindigen.

Bepaling 9: Toepasselijk recht

Op de bepalingen is het nationaal recht van het EU-land van vestiging van de gegevensexporteur van toepassing.

Bepaling 10: Wijziging van het contract

De partijen mogen de bepalingen niet wijzigen of tegenspreken.

Bepaling 11: Subverwerking

Op de bepalingen betreffende subverwerking is het recht van het EU-land van vestiging van de gegevensexporteur van toepassing.

Bepaling 12: Verplichting na de beëindiging van de verwerking van persoonsgegevens

Deze bepaling regelt de verplichtingen van de partijen na het beëindigen van de gegevensverwerking. Met name komen de partijen overeen dat de gegevensimporteur en de subverwerker na het beëindigen van de gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens terugbezorgen (of op verzoek vernietigen), tenzij de wetgeving hem dit verbiedt.

VANAF WANNEER IS HET BESLUIT VAN TOEPASSING?

Het besluit is van toepassing sinds 15 mei 2010.

ACHTERGROND

• Opmerking: dit besluit was het onderwerp van een verzoek om een prejudiciële uitspraak, dat leidde tot het arrest van het Hof van Justitie van de EU (zaak C-311/18) van 16 juli 2020 waarin het Hof de geldigheid van het besluit bevestigt.
• De Europese Commissie heeft ook twee stellen modelcontractbepalingen uitgegeven voor gegevensdoorgiften van gegevensverwerkers in de EU aan buiten de EU of de EER gevestigde gegevensverwerkers.
• Zie ook:
  • Gegevensbescherming (Europese Commissie).

KERNBEGRIPPEN

BELANGRIJKSTE DOCUMENT

Besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad (PB L 39 van 12.2.2010, blz. 5-18)

Achtereenvolgende wijzigingen aan Besluit 2010/87/EU werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.

GERELATEERDE DOCUMENTEN

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1-88)

Zie de geconsolideerde versie.

Beschikking 2004/915/EG van de Commissie van 27 december 2004 tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen (PB L 385 van 29.12.2004, blz. 74-84)

Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG (PB L 181 van 4.7.2001, blz. 19-31)

Zie de geconsolideerde versie.

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31-50)

Zie de geconsolideerde versie.

Laatste bijwerking 07.10.2020