Nye standardbestemmelser til internationale dataoverførsler er på vej
Kommissionen har offentliggjort et udkast til nye standardbestemmelser, som skal sikre overensstemmelse med GDPR i lyset af EU-Domstolens seneste praksis. De nye standardbestemmelser er indtil videre blot et udkast, men de giver et vigtigt indblik i det fremtidige beskyttelsesniveau på området for dataoverførsler til lande uden for EU/EØS.
Baggrund
Kommissionen offentliggjorde den 12. november 2020 et udkast til nye standardkontraktbestemmelser (SCC) for overførsler af persondata til tredjelande (lande uden for EU/EØS). SCC’erne skal ses i lyset af EU-Domstolens afgørelse i Schrems-II fra den 16. juli 2020, hvor EU-Domstolen fast-slog, at der ved overførsler af persondata til tredjelande skal sikres et beskyttelsesniveau, der er ”essentially equivalent” med beskyttelsesniveauet efter databeskyttelsesforordningen (GDPR).
Det følger af art. 46(2)(c) i GDPR, at Kommissionen kan vedtage SCC’er. Kommissionen har udnyttet denne mulighed i relation til de nugældende SCC’er, som fremgår af beslutning 2001/497/EC5 og beslutning 2010/87/EU6, der er baseret på det gamle databeskyttelsesdirektiv 95/46/EC. Disse kan ikke længere give en tilstrækkelig beskyttelse, og den øgede digitalisering har skabt komplicerede behandlingskæder, der har gjort det nødvendigt med nye og mere uddybende SCC’er.
De nye SCC’er er indtil videre et udkast med Kommissionens foreløbige holdning, og vil først blive endeligt vedtaget efter den 10. december 2020, hvor høringsfristen udløber. Selv om de ikke er endelige, giver de et vigtigt indblik i hvordan de fremtidige SCC’er kommer til at se ud. Når de endelige SCC’er vedtages, vil de ophæve de to tidligere SCC’er (2001/497/EC5 og 2010/87/EU6), som dog stadig kan bruges i op til et år efter ikrafttræden af de nye SCC’er.
EDPB har i samme forbindelse offentliggjort to anbefalinger om overførsel af personoplysninger til lande uden for EU/EØS.
Indholdet af de nye standardbestemmelser
Kommissionens nye SCC har en stor tekstmæssig lighed med GDPR.
De er opbygget i tre forskellige sektioner, hvor den første indeholder generelle bestemmelser, den anden indeholder parternes egentlige forpligtelser ved overførsel og den tredje indeholder bestemmelser om lovvalg og ophør af kontrakten.
I den første sektion fremgår det blandt andet, at SCC’en har forrang frem for andre aftaler imellem parterne, hvis der er uoverensstemmelse imellem SCC’en og den anden aftale (bestemmelse 4).
Den anden sektion er opbygget omkring de fire forskellige overførselsrelationer: (1) fra dataansvarlig til dataansvarlig, (2) fra databehandler til databehandler, (3) fra dataansvarlig til databehandler eller (4) fra databehandler til dataansvarlig. Der vil altid være tale om overførsel fra en dataeksportør, som befinder sig i EU/EØS til en dataimportør, som befinder sig i et tredjeland.
De nye SCC’er indeholder blandt andet bestemmelser, der skal sikre gennemsigtighed for de registrerede (blandt andet i relation til hvad der præcist bliver overført til et tredjeland), bestemmelser om behandlingssikkerhed (art. 32 i GDPR), bestemmelser om dokumentation og bestemmelser om erstatningsansvar.
Til SCC’erne er tilknyttet tre bilag, hvor dataeksportøren og dataimportøren blandt andet har mulighed for at udfylde identifikations- og kontaktoplysninger (bilag 1), en nærmere beskrivelse af dataene der bliver overført (bilag 2) og en beskrivelse af de tekniske og organisatoriske foran-staltninger, som dataimportøren har implementeret (bilag 3).
I en kontrakt mellem en dataeksportør og en dataimportør kan der til hver en tid indsættes ekstra klausuler i aftalen, som sikrer en højere grad af beskyttelse af de registrerede end der fremgår af SCC’erne. Man skal dog være opmærksom på, at de bestemmelser man indsætter ikke er i strid med SCC’erne eller er til skade for de registreredes rettigheder efter GDPR.
NJORD’s bemærkninger
De nye SCC’er er især relevante for databehandlere og dataansvarlige, som allerede overfører oplysninger til tredjelande. Man skal være opmærksom på, at de eksisterende SCC’er snart bliver erstattet, og at de nye standardbestemmelser indeholder et højere beskyttelseshensyn til den registrerede. Man kan derfor med fordel opdatere kontrakten med ens dataimportør, så den lever op til de nye krav. Herudover skal man huske at overholde oplysningspligten i GDPR art. 13(1)(f) og art. 14(1)(f) og derved informere den registrerede om en mulig overførsel af data til tredjelande.
NJORD har stor erfaring med dataoverførsel til tredjelande, og vi er som altid behjælpelige med at udarbejde jeres nye kontrakter, give jer en vurdering af jeres nuværende kontrakter mv.