Den 4. juni 2021 offentliggjorde EU-Kommissionen sin vedtagelse af de nye standardkontraktsbestemmelser (også kaldt Standard Contractuel Clauses eller SCCs) for overførsel af personoplysninger til tredjelande. Bestemmelserne kan anvendes fra den 27. juni 2021.

Af Christian Zeeberg Madsen, advokat (H), partner

Baggrunden for de nye standardkontraktsbestemmelser

EU-Domstolen afsagde den 16. juli 2020 dom i Schrems II-sagen, og tog derved stilling til gyldigheden af Privacy Shield-ordningen (tidligere Safe Habour), der hidtil blev anvendt som overførselsgrundlag for personoplysninger fra EU til USA.

EU-Domstolen vurderede, at overførselsgrundlaget ikke var gyldigt, idet ordningen ikke gav den fornødne databeskyttelse henset til USA’s lovgivning om national sikkerhed m.m., der tildeler myndighederne særlige beføjelser med hensyn til dataadgange.

Ordningen ophørte straks, hvorfor dataeksportører i EU herefter skulle anvende et andet grundlag ved overførsel til USA. Eksportører kunne eksempelvis udforme en særskilt aftale i overensstemmelse med EU-Kommissionens standardkontrakt.

I Schrems II-afgørelsen fremhævede EU-Domstolen imidlertid en række nye krav med hensyn til den generelle brug af bestemmelserne i EU-Kommissionens standartkontrakt ved overførsel til et tredjeland.

Eksempelvis skal dataeksportøren vurdere, hvorvidt lovgivningen i de enkelte tredjelande respekterer databeskyttelseskravene, som EU-lovgivningen stiller. Hvis dette ikke er tilfældet, skal eksportøren analysere, hvilke supplerende foranstaltninger, der skal aftales med dataimportøren.

Det er bl.a. ovenstående krav, der nu er blevet nedfældet i EU-Kommissionens nye standardkontraktsbestemmelser for overførsler fra EU til tredjelande.

Indholdet i standardkontraktsbestemmelser

Generelt er de nye standardkontraktsbestemmelser en videreførsel af de gamle standardkontraktsbestemmelser fra EU-Kommissionen. Der er dog visse tilføjelser.

Nedenfor ses et overblik over principperne i de nye standardkontraktsbestemmelser:

  1. Eksportøren (assisteret af importøren) forpligtes til at overveje beskyttelsesniveauet for personoplysninger i tredjelandet.
  2. Med hjælp fra importøren forpligtes eksportøren til at udarbejdet en konsekvensanalyse inden overførslen. Analysen skal basere sig på relevant lovgivning og praksis i tredjelandet, samt subjektive forhold såsom kontraktens varighed, omfang og regelmæssighed af overførslerne, type af modtager, formålet med overførslen og karakteren af de overførte data. På anmodning skal eksportøren stille analysen til rådighed for den kompetente tilsynsmyndighed.
  3. Ved offentlige myndigheders anmodning om adgang til personoplysninger, der stammer fra EU, skal importøren:
    • underrette både eksportøren og den registrerede om anmodningen,
    • vurdere lovligheden af en sådan anmodning under henvisning til gældende lovgivning i tredjelandet og internationale forpligtelser,
    • anfægte eller suspendere anmodningen, hvis der er grundlag herfor, – og i alle tilfælde alene videregive den mindst mulige mængde data,
    • dokumentere disse anmodninger og stille dem til rådighed for eksportøren
  1. Parterne skal i et bilag redegøre for øvrige tekniske og organisatoriske foranstaltninger, der er implementeret for at beskytte de overførte data.
  2. En forpligtelse for eksportøren til at suspendere dataoverførsler eller opsige aftalen, hvis ikke importøren lever op til sine forpligtelser.
  3. Hvis en eksportør har grund til at tro, at en importør ikke kan opfylde sine forpligtelser, skal denne implementere yderligere sikkerhedsforanstaltninger førend en overførsel af personoplysninger kan fortsætte.

Overgangsperiode

Som tidligere nævnt kan de nye bestemmelser anvendes fra den 27. juni 2021. Dataansvarlige og databehandlere, der anvender de gamle standardkontraktbestemmelser som overførselsgrundlag til tredjelande, skal dog senest den 27. december 2022 være overgået til de nye bestemmelser.

Anbefalinger fra Det Europæiske Databeskyttelsesråd

I forlængelse af EU-Kommissionens beslutning har Det Europæiske Databeskyttelsesråd (EDPB) den 18. juni 2021 vedtaget endelige anbefalinger om supplerende foranstaltninger ved overførsel af personoplysninger til tredjelande.

Disse skal sikre, at dataeksportørerne lever op til EU-lovgivningen om databeskyttelse uanset overførselsgrundlaget. Anbefalingerne skal hjælpe eksportørerne til at vurdere, om der er behov for yderligere kontraktuelle beskyttelsesforanstaltninger, førend personoplysninger kan overføres til et tredjeland.

Har du eller din virksomhed har spørgsmål til de nye bestemmelser, er du/I velkomne til at kontakte os.

print