23.06.21 DI Digital Nyheder

De længe ventede standardkontrakter for overførsel af personoplysninger til lande uden for EU/EØS er nu offentliggjort

Fredag den 4. juni fremlagde Kommissionen de længe ventede opdaterede standardkontraktklausuler (SCC’er), som virksomheder kan bruge som sikkert grundlag for at overføre personoplysninger til lande uden for EU og EØS, også kendt som ’tredjelande’. Kommissionen har samtidig udgivet en ny standardskabelon til en databehandleraftale.

En opdatering af SCC’erne har været ventet længe, fordi de gamle er fra hhv. 2001/2002 og 2010, det vil sige før GDPR og Schrems II, og derfor sikrer de ikke i alle tilfælde et passende beskyttelsesniveau. Virksomhederne har derfor haft behov for at kontrakterne blev opdateret, så de tager højde for en ny virkelighed.

Nye Standard Contractual Clauses

Alle danske og europæiske virksomheders overførsler af persondata til modtagere i lande uden for EU/EØS, også kaldet ’tredjelande’, skal, ifølge GDPR, have et beskyttesesniveau, der er ’essentially equivalent’ til det, vi har I EU.

Det kan eksempelvis være aktuelt, hvis din virksomhed bruger en cloud udbyder, der opbevarer persondata på en server uden for EU/EØS, eller hvis I har supportadgang fra eksempelvis Indien på et system, der indeholder personoplysninger. I sådanne tilfælde vil I nemlig overføre personoplysninger til tredjelande, og dermed være forpligtet til at opretholde et ’essentially equivalent’ beskyttelsesniveau for personoplysningerne.

Den mest benyttede måde at opretholde det høje beskyttelsesniveau på, er ved at indgå fornødne garantier med modtageren af personoplysningerne i landet uden for EU/EØS. Her er SCC’erne med længder det mest brugte grundlag til at sikre de korrekte fornødne garantier.

De nye SCC’er kom kun to uger før de endelige retningslinjer fra Det europæiske databeskyttelsesråd (EDPB), der blev offentliggjort fredag d. 18 juni. Retningslinjerne skal hjælpe virksomhederne med at sikre et beskyttelsesniveau, der er ’essentially equivalent’, når virksomheder overfører persondata til lande uden for EU, der har et lavere beskyttelsesniveau for personoplysninger. Du kan finde de endelige retningslinjer her.  

Ny standardskabelon til databehandleraftale

Sammen med SCC’erne har Kommissionen også udgivet en standardskabelon til en databehandleraftale. Databehandleraftalen er et alternativ til den standardskabelon til databehandleraftale som det danske Datatilsyn har udgivet, og som kan findes på Vejledning (datatilsynet.dk).

Datatilsynets og Kommissionens standard databehandleraftale er begge godkendt af det europæiske databeskyttelsesråd. Virksomheder kan derfor frit vælge den standardskabelon, de finder mest nyttig. Det er dog vigtigt at huske, at der er forskel på en standard skabelon til databehandleraftalen og de SCC’er, man skal indgå, når man overfører persondata til tredjelande.

Forskellen på en databehandleraftale og en SCC

Forskellen på en databehandleraftale og en SCC er, at man bruger en SCC, når man overfører persondata til modtagere uden for EU/EØS, hvorimod en databehandleraftale indgås mellem en dataansvarlig og en databehandler med henblik på at fastlægge den behandling af personoplysninger, som databehandleren skal foretage for den dataansvarlige. Begge parter i en databehandleraftale kan derfor sagtens opholde sig i EU/EØS.

Er i dataansvarlige og bruger en databehandler, der har hele sin digitale infrastruktur i EU, skal I derfor kun indgå en databehandleraftale. Men hvis I for eksempel bruger en leverandør, der opbevarer personoplysninger for jeres virksomhed på en server uden for EU/EØS, skal I som dataansvarlig både indgå en databehandleraftale og en SCC med leverandøren.

Hvornår kan jeg bruge de nye SCC’er?

De nye SCC’er kan bruges fra den 27 juni 2021 og fra den 27 september 2021 kan jeres virksomhed ikke længere indgå de gamle SCC’er. Virksomheder, der har indgået de gamle SCC’er før den 27 september 2021 skal senest den 27 december 2022 have skiftet dem ud med de nye SCC’er.

De vigtigste opdateringer til de nye SCC’er

SCC’erne er opdateret på en række områder. Særligt vigtige er det, at:
Der nu kun findes én SCC, som til gengæld er modulopbygget, hvor hvert modul kan bruges til overførsler af personoplysninger mellem GDPR’s forskellige ansvarssubjekter:

  • Modul 1: dataansvarlig – dataansvarlig
  • Modul 2: dataansvarlig – databehandler
  • Modul 3: databehandler – databehandler
  • Modul 4: databehandler – dataansvarlig

  • Én SCC kan tilsluttes af alle led i behandlingskæden samtidig, hvilket giver større fleksibilitet når de skal bruges af flere end 2 parter.
  • Man kan tilføje bestemmelser til sin SCC, så længe bestemmelseren ikke strider imod SCC’erne og EU’s charter om grundlæggende rettigheder.
  • SCC’ens modul 2 og 3 kan bruges som en databehandleraftale, hvis modulerne og de tilhørende bilag udfyldes korrekt, og kan derfor være både en databehandleraftale og en SCC i ét dokument.

Hvad skal jeg gøre nu?

Du bør først og fremmest danne dig et overblik over, om du har leverandører, der behandler persondata for dig uden for EU/EØS. Hvis du har leverandører uden for EU/EØS, der behandler persondata for dig, skal du finde ud af, hvilket overførselsgrundlag du overfører personoplysningerne på. Hvis du bruger en af de gamle SCC’er til at overføre personoplysninger uden for EU/EØS, bør du lave en plan for, hvordan du skifter til de nye SCC’er.

Din plan for et skifte til de nye SCC’er bør også omhandle en vurdering af, om dit valgte overførselsgrundlag effektivt sikrer et beskyttelsesniveau for de overførte personoplysninger, der er ’essentially equivalent’ til det, vi har i EU. Hvis du skal foretage supplerende foranstaltninger, kan EDPB's nye anbefalinger om supplerende foranstaltninger hjælpe dig med at vurdere, hvilke supplerende foranstaltninger, der er passende.

I kan skrive til JURpersondata@di.dk for mere viden om, hvordan I får et overblik over jeres overførsel af personoplysninger til tredjelande, eller hvis I har brug for vejledning om GDPR.

Download

Du kan finde de nye SCC’er og skabelonen til en databehandleraftale her.

Samt finde EDPB's nye anbefalinger om supplerende foranstaltninger her. 

Morten Rosted Vang

Morten Rosted Vang

Fagleder, Digital ansvarlighed og cybersikkerhed

  • Direkte +45 3377 4707
  • Mobil +45 2291 5081
  • E-mail morv@di.dk

Relateret indhold