Nye SCCs skal sikre personopplysninger som overføres til tredjeland

14/06/21

En «overføring av personopplysninger» skjer ikke bare hvor personopplysninger blir overført fra et EU-/EØS-land til et tredjeland. Tilgang til data fra et tredjeland anses også som en «overføring av personopplysninger». De nye SCC-ene kan bl.a. brukes av virksomheter som anvender skytjenester som understøttes av servere i tredjeland. Illustrasjonsfoto: Sigmund på Unsplash

EU-kommisjonen har vedtatt endelig versjon av EU Standard Contractual Clauses («SCC»), som er det vanligste overføringsgrunnlaget for overføring av personopplysninger til land utenfor EU/EØS («tredjeland»). De nye bestemmelsene sikrer bl.a. et sterkere beskyttelsesnivå for overførte personopplysninger sammenlignet med tidligere og inneholder krav om at det skal gjøres vurderinger i tråd med Schrems II-dommen.

Hva er SCCs?

SCCs er standardiserte kontraktsbestemmelser som forplikter avtalepartene til å behandle personopplysninger i tråd med kravene i GDPR. Bestemmelsene gjør det mulig å overføre personopplysninger til land utenfor EU/EØS som ikke har et tilstrekkelig beskyttelsesnivå.

Hva er nytt?

De nye SCC-ene inneholder flere nyvinninger og kvalitetsforbedringer som vil øke standardkontraktenes anvendelighet. En av disse nyvinningene er en situasjons- og modulbasert tilnærming som gjør SCC-ene anvendelige i følgende overføringssituasjoner:

behandlingsansvarlig til behandlingsansvarlig,
behandlingsansvarlig til databehandler,
databehandler til databehandler, og
databehandler til behandlingsansvarlig.

Det er nå mulig for dataeksportører (avsendere av personopplysninger) å signere SCC-ene i fellesskap, noe som vil gjøre det lettere for større og komplekse virksomheter å ta i bruk bestemmelsene. Videre finnes det en egen bestemmelse som gjør det mulig å tiltre den aktuelle standardavtalen på et senere tidspunkt, noe som gjør SCC-ene mer dynamiske og enkle å tilpasse endringer i behandlingsaktiviteter og utskiftning/inkludering av dataimportører (mottakere av personopplysninger).

Schrems II-dommen har også satt sitt preg på innholdet i SCC-ene. Det er lagt opp til at lovverket og praksis i tredjelandet skal vurderes for å avklare om disse undergraver beskyttelsen i bestemmelsene. Dette er også i tråd med sekstrinnsprosessen i veilederen til Personvernrådet. Dataimportøren forplikter seg også til å motarbeide potensielle utleverings- og innsynskrav fra offentlige myndigheter i mottakerlandet dersom disse er i strid med loven i mottakerlandet.

Virksomheter som i dag bruker de gamle SCC-ene bør være spesielt oppmerksomme på disse endringene.

Behov for en databehandleravtale i tillegg til SCCs?

En annen nyvinning i de nye SCC-ene er at bestemmelsene dekker alle de innholdsmessige kravene til en databehandleravtale etter artikkel 28 i GDPR. Det er derfor ikke nødvendig å inngå en separat databehandleravtale med en databehandler som har signert de nye SCC-ene.

Hva bør din virksomhet gjøre?

De gamle SCC-ene kan fortsatt brukes frem til 27. september. Etter dette må de nye SCC-ene tas i bruk. Dersom din virksomhet i dag overfører personopplysninger til tredjeland på bakgrunn av de gamle SCC-ene, har virksomheten 15 måneder til å implementere de nye SCC-ene. Altså må alle ha implementert nye SCCs innen desember 2022.

Hvis din virksomhet bruker SCC-er, bør dere allerede nå gjøre dere kjent med innholdet i den nye SCC-en og starte med å vurdere nasjonal lovgivning i aktuelle tredjeland, da dette kan være tid- og ressurskrevende arbeid. Vi anbefaler også å gå i dialog tidlig med de kontraktsmotpartene det blir aktuelt å signere nye SCC-er med, slik at de får god tid til å innrette seg etter de nye kravene.