Nye standardbestemmelser til overførsler uden for EU/EØS
EU-Kommissionen har i juni 2021 vedtaget nye standardkontraktbestemmelser (SCC’er), som fremover kan anvendes som grundlag for overførsel af oplysninger til lande uden for EU/EØS.
Det følger af databeskyttelsesforordningen art. 46(2)(c), at EU-Kommissionen kan vedtage SCC’er, som herefter kan benyttes af dataansvarlige og databehandlere som overførselsgrundlag, når de overfører personoplysninger til lande udenfor EU/EØS (tredjelande).
EU-Kommissionen offentliggjorde i november 2020 et udkast til de nye SCC’er. De nye SCC’er skal ses i sammenhæng med EU-Domstolens afgørelse i Schrems II-afgørelsen fra juli 2020. Her blev det fastslået, at overførsler af personoplysninger til tredjelande skal have en beskyttelse, der er ”essentially equivalent” med beskyttelsesniveauet i databeskyttelsesforordningen, og at SCC’er ikke længere – i alle situationer - i sig selv er tilstrækkelige til at opnå denne beskyttelse.
De nye SCC’er udgør et af de væsentligste overførselsgrundlag for overførsler til tredjelande, og de skal – sammen med de endelige versioner af EDPB’s anbefalinger om supplerende foranstaltninger – løse udfordringerne fra Schrems II-afgørelsen i praksis.
Det nye indhold
Det tekstmæssige indhold er opdateret og stemmer nu overens med ordlyden i databeskyttelsesforordningen. De nye SCC’er består af et dokument, der er opbygget i moduler, og de kan derfor omfatte 4 forskellige scenarier:
1) Overførsel fra dataansvarlig til dataansvarlig
2) Overførsel fra dataansvarlig til databehandler
3) Overførsel fra databehandler til databehandler
4) Overførsel fra databehandler til dataansvarlig
Der er i disse scenarier altid tale om en overførsel fra en dataeksportør, som befinder sig i EU/EØS til en dataimportør, som befinder sig i et tredjeland.
De nye SCC’er indeholder bestemmelser om, at SCC’er har forrang for andre aftaler mellem parterne, hvis der er uoverensstemmelse imellem SCC’en og den anden aftale (clause 5). Derudover er de nye SCC’er mere fleksible end de tidligere, idet der nu er mulighed for at tilføje flere bestemmelser eller foranstaltninger til SCC’en, så længe de ikke er i konflikt med den oprindelige tekst (clause 2).
Med de nye SCC’er bliver gennemsigtigheden for den registrerede øget, da de registrerede nu har ret til at modtage en kopi af de SCC’er, der benyttes som overførselsgrundlag, og de registrerede skal informeres om denne rettighed (clause 8).
Det er også værd at bemærke, at de nye SCC’er indeholder en bestemmelse om, at dataimportøren er forpligtet til at orientere dataeksportøren, hvis offentlige myndigheder tilgår de overførte personoplysninger (clause 15).
De nye SCC’er indeholder også mulighed for at benytte sig af en ”docking” klausul, hvorefter det er muligt for tredjeparter at tilslutte sig aftalen. Det vil gøre det nemmere at håndtere udskiftning af parter over tid (clause 7).
Ikrafttræden
De nye SCC’er er især relevante for databehandlere og dataansvarlige, som allerede overfører personoplysninger til tredjelande. SCC’erne trådte i kraft den 27. juni 2021 og erstatter endeligt de tidligere SCC’er den 27. september 2021. Herefter skal alle aftaler om overførsler indgås efter de nye SCC’er. Alle overførsler, som er eller bliver baseret på de tidligere SCC’er inden den 27. september 2021, kan fortsætte indtil den 27. december 2022 og skal derefter udskiftes.
NJORDs bemærkninger
De nye SCC’er er især relevante for databehandlere og dataansvarlige, som allerede overfører personoplysninger til tredjelande. Man bør i dette tilfælde forberede sig på, at de tidligere SCC’er bliver erstattet, og man skal derfor sørge for at opdatere kontrakten med ens dataimportør.