Nye standardaftaler for overførsel af personoplysninger til lande uden for EU/EØS

Den 4. juni 2021 har Europa-Kommissionen vedtaget et sæt nye Standard Contractual Clauses (SCC), der kan benyttes som overførselsgrundlag ved overførsel af personoplysninger til lande uden for EU/EØS. De nye SCC'er har været længe ventet, da ikrafttrædelsen af GDPR samt ny praksis fra EU-domstolen har nødvendiggjort en modernisering af de eksisterende SCC´er.

Baggrunden for de nye SCC'er

Når en dansk virksomhed eller myndighed m.v. ønsker at overføre personoplysninger til en modtager uden for EU/EØS - f.eks. til et koncernselskab eller en databehandler - følger det af kapitel V i GDPR, at der skal tilvejebringes et såkaldt overførselsgrundlag.

Nogen få lande er af EU-Kommissionen blevet erklæret for et sikkert tredjeland - her er kravet opfyldt uden videre. 

For de øvrige såkaldte usikre tredjelande har det mest anvendte overførselsgrundlag i mange år været EU-Kommissionens SCC'er fra henholdsvis 2001/2002 (overførsel fra dataansvarlig til dataansvarlig) og 2010 (overførsel fra dataansvarlig til databehandler). SCC'erne er grundlæggende en standardaftale mellem en dataeksportør i EU/EØS og en dataimportør uden for EU/EØS, der forpligter dataimportøren til behandle og beskytte de overførte oplysninger som fastsat i standardaftalen, samt pålægger begge parter en række yderligere forpligtelser.

Formålet med dette krav er at sikre, at de overførte personoplysninger beskyttes på et niveau, der er "essentially equivalent" med beskyttelsesniveauet i EU, når de behandles i lande uden for EU/EØS.

Der har længe været et udbredt ønske om, at Europa-Kommissionen vedtog nogle nye og opdaterede SCC'er. Dette ønske tog fart ved ikrafttrædelsen af GDPR i 2018, og er yderligere blevet forstærket efter EU-domstolens afgørelse i den såkaldte Schrems II-sag i sommeren 2020. 

En konsekvens af Schrems II var bl.a., at brug af de eksisterende SCC'er ikke længere - i alle situationer - i sig selv var tilstrækkeligt til at opnå en beskyttelse, der levede op til den krævede standard; nemlig en beskyttelse, som er "essentially equivalent" med beskyttelsesniveauet i EU. 

Med de nye - og væsentlig udbyggede - SCC'er forsøger Europa-Kommissionen at skabe en standardaftale, hvormed det igennem aftalen er muligt at opnå et beskyttelsesniveau, der er "essentially equivalent" med beskyttelsesniveauet i EU. De nye SCC'er kan findes her

Hvad er nyt?

Modulopbygning
Hvor de eksisterende SCC'er kun adresserer to overførselsscenarier (dataansvarlig til dataansvarlig og dataansvarlig til databehandler) kombinerer de nye SCC'er en række generelle bestemmelser med en modulopbygning, hvor der åbnes op for fire forskellige overførselsscenarier:

  • Modul 1 - dataansvarlig til dataansvarlig
  • Modul 2 - dataansvarlig til databehandler
  • Modul 3 - databehandler til databehandler
  • Modul 4 - databehandler til dataansvarlig

De nye SCC'er indeholder endvidere en såkaldt "docking" klausul, der gør det muligt for tredjeparter at tilslutte sig aftalen. Dette vil gøre det mere enkelt at håndtere udskiftning af parter over tid, herunder f.eks. ved ændringer i koncernforhold.

Accountability
I overensstemmelse med det grundlæggende princip om accountability/ansvarlighed i GDPR, så skal både dataeksportøren og dataimportøren kunne dokumentere overholdelsen af deres forpligtelser efter SCC'erne.

For dataeksportørerne må det forventes at blive en betydelige opgave vedvarende at dokumentere overholdelsen af sine SCC'er.

Plesner har sammen med Risma Systems udviklet RismaGDPR, som er en softwareløsning til GDPR compliance. Plesner er allerede nu ved at indarbejde anvendelsen af de nye SCC'er i RismaGDPR, sådan at man nemt kan håndtere indgåelsen og den løbende opfølgning af de nye SCC'er.

SCC'er kan samtidig udgøre en databehandleraftale 
Modul 2 og 3 vil - ved en korrekt udfyldelse af aftalen og de tilhørende bilag - opfylde de indholdsmæssige minimumskrav til en databehandleraftale efter GDPR artikel 28. 

Man behøver således ikke at indgå en separat databehandleraftale ved siden af SCC'erne, hvilket ellers har været nødvendigt siden ikrafttrædelsen af GDPR.

Der må tilføjes bestemmelser og foranstaltninger til SCC'erne
Det er muligt at tilføje bestemmelser og foranstaltninger til SCC'erne, så længe disse ikke er i konflikt med SCC'erne og EU's Charter om grundlæggende rettigheder. 

Schrems II
Som en direkte konsekvens af Schrems II afgørelsen indeholder de nye SCC'er et helt afsnit om samspillet mellem forpligtelserne i SCC'er og lokal lovgivning i tredjelande, bl.a. om de lokale, offentlige myndigheders adgang til oplysninger.

Parterne skal i den forbindelse bl.a. garantere, at de ikke har grund til at tro, at lovgivning mv. i tredjelandet vil forhindre dataimportøren i at overholde sine forpligtelser efter SCC'erne. Ved denne vurdering skal parterne bl.a. tage hensyn til følgende:

  • De specifikke omstændigheder ved den konkrete overførsel, herunder formålet med behandlingen, oplysningernes karakter og kategorierne af modtagere
  • Lovgivning og praksis i importlandet, herunder lovgivning og praksis vedrørende offentlige myndigheders adgang til at tilgå oplysninger. I den forbindelse kan der bl.a. ses på praktiske erfaringer i forhold til anmodninger om udlevering. Sådanne praktiske erfaringer skal dog være understøttet af relevante objektive elementer og ikke blot parternes egne erfaringer. Objektive elementer kan f.eks. være offentligt tilgængeligt materiale, f.eks. retspraksis eller rapporter fra uafhængige tilsynsorganer
  • Relevante kontraktuelle, organisatoriske eller tekniske supplerende foranstaltninger, der er truffet i tillæg til SCC'erne 

Disse vurderinger skal dokumenteres og kunne fremvises til den kompetente tilsynsmyndighed efter anmodning.

Herudover indeholder afsnit 3 bestemmelser om, hvad dataimportøren skal gøre, hvis denne modtager anmodninger om udlevering af oplysninger fra offentlige myndigheder, herunder underrette dataeksportøren samt omhyggeligt vurderer lovligheden af en eventuel anmodning.

SCC'erne synes at åbne en lille smule op for en risikobaseret tilgang ved vurderingen af tredjelandets lovgivning mv., bl.a. kan der lægges vægt på, om der konkret modtages anmodninger om udlevering. Hér skal man dog være opmærksom på, at de nye SCC'er skal anvendes i overensstemmelse med Schrems II dommen - som den fortolkes af datatilsynene i EDPB's anbefalinger om supplerende foranstaltninger.

Hvis der i de endelige anbefalinger stilles strengere krav til vurderingen af tredjelandets lovgivning eller i øvrigt strengere krav, end hvad der følger af SCC'erne, så skal disse strengere krav efterleves. 

Hvornår træder de nye SCC'er i kraft?

De nye SCC'er kan bruges fra den 27. juni 2021, og de eksisterende SCC'er ophæves med virkning fra den 27. september 2021. 

Kontrakter, der er indgået på baggrund af de eksisterende SCC'er inden den 27. september 2021, kan anvendes i en overgangsperiode indtil den 27. december 2022. Det er dog forudsat, at databehandlingen forbliver uændret, og forudsat at der allerede nu samlet set tilvejebringes en beskyttelse, som er "essentially equivalent" - som dette krav er fastlagt i EDPB's anbefalinger om supplerende foranstaltninger ved overførsel til tredjelande.  

Inden for overgangsperioden skal dataeksportøren skifte til et nyt overførselsgrundlag, eksempelvis de nye SCC'er. 

Hvad bør man gøre nu?

Det er Plesners anbefaling, at man som dataeksportør gør følgende:

  • Kortlægger alle overførsler til tredjelande baseret på de eksisterende SCC'er. En sådan kortlægning er muligvis allerede foretaget i forlængelse af Schrems II-sagen fra sommeren 2020
  • Inden for kort tid begynder at bruge de nye SCC'er ved nye overførsler
  • Lægger en plan for, hvordan allerede indgåede SCC'er kan erstattes med nye SCC'er. Bemærk i den forbindelse, at man både ved brug af de eksisterende SCC'er og de nye SCC'er skal sikre, at der allerede nu samlet set tilvejebringes en beskyttelse, som er "essentially equivalent" - som dette fortolkes ved EDPB's anbefalinger om supplerende foranstaltninger ved overførsel til tredjelande. De nye SCC'er bidrager i den forbindelse lidt forsimplet blot med en moderniseret ramme til at opnå denne beskyttelse. Hvis man fortsætter med at bruge de eksisterende SCC'er i en periode, så skal Schrems II-dommen allerede nu efterleves ved siden af SCC'erne 

Ønsker du at høre mere om de nye SCC'er?

Plesner Persondata Team afholder den 29. juni 2021, kl. 9.00-16.00, en Master Class om overførsel af personoplysninger til tredjelande.

Hér vil Plesner Persondata Team bl.a. give en meget grundig gennemgang af de nye SCC'er, og give en praktisk indføring i brugen af SCC'erne.

Læs mere om vores Master Class her.

Seneste nyt om Persondata

Læs alle insights om Persondata