Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs NYT Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Internationale dataoverførsler – nye Standard Contractual Clauses vedtaget

Bech Bruun
09/06/2021
Internationale dataoverførsler – nye Standard Contractual Clauses vedtaget
Bech Bruun logo
EU-Kommissionen har den 4. juni 2021 vedtaget de udvidede og længe ventede nye Standard Contractual Clauses (”SCC’er”), der fremadrettet kan anvendes som grundlag for overførsel af personoplysninger til tredjelande.

Internationale dataoverførsler har været en udfordring for mange dataansvarlige og databehandlere siden GDPR trådte i kraft tilbage i maj 2018. En udfordring som er blevet yderligere kompliceret af skærpet praksis fra EU-Domstolen og den teknologiske udvikling (bl.a. anvendelse af cloud services), hvor internationale dataoverførsler i mange tilfælde er en væsentlig forudsætning.

EU-Kommissionen sendte i november 2020 et udkast til nye SCC’er i høring. De nye SCC’er skal erstatte de eksisterende SCC’er, der har kunnet anvendes som grundlag for overførsel af personoplysninger siden 2001. Opdateringen af SCC’erne har været ventet, siden GDPR trådte i kraft i maj 2018. Øgede krav til indholdet i databehandleraftaler i GDPR medførte bl.a., at det blev nødvendigt at supplere SCC’er mellem en dataansvarlig og en databehandler med en databehandleraftale. Behovet for en opdatering af de eksisterende SCC’er blev yderligere nødvendiggjort med Schrems II-afgørelsen fra juli 2020, hvor EU-Domstolen fastslog, at der i forbindelse med overførsel af personoplysninger til tredjelande på baggrund af SCC’er skal foretages en konkret vurdering af overførselsgrundlagets effektivitet i modtagerlandet og behovet for at implementere såkaldte ”supplerende beskyttelsesforanstaltninger” i forbindelse med overførslen. EU-Domstolen erklærede samtidig EU-US Privacy Shield-ordningen ugyldig som overførselsgrundlag til ikke-sikre tredjelande.

Dommen har medført stor usikkerhed vedrørende dommens praktiske konsekvenser, og det var først i november 2020, at European Data Protection Board (EDPB) offentliggjorde et ikke-endeligt udkast til, hvad ”supplerende foranstaltninger” konkret skal bestå i. Vedtagelsen af de nye SCC’er skal, i kombination med den endelige version af EDPB’s guidelines vedrørende den praktiske udmøntning af konsekvenserne af kravene i Schrems II-dommen, som forventes offentliggjort inden sommerferien, være med til at reducere denne usikkerhed.

Sammen med de nye SCC’er har EU-Kommissionen vedtaget nogle standardkontraktbestemmelser, der kan anvendes til indgåelse af databehandleraftaler mellem dataansvarlige og databehandlere.


Hvad er nyt?
SCC’erme til brug ved overførsel af personoplysninger til tredjelande er gennemgribende moderniseret og afspejler derfor udviklingen i databeskyttelsesretlig praksis, ligesom ordlyden er opdateret, så den stemmer overens med GDPR.

Hvor de eksisterende SCC’er består af to separate aftaledokumenter, som er begrænset til overførsler mellem henholdsvis to selvstændige dataansvarlige og overførsler fra en dataansvarlig til en databehandler i et ikke-sikkert tredjeland, består de opdaterede SCC’er af ét aftaledokument, der er modulært opbygget, sådan at det kan omfatte en række forskellige overførselsscenarier:

  1. Dataansvarlig til dataansvarlig
  2. Dataansvarlig til databehandler
  3. Databehandler til databehandler
  4. Databehandler til dataansvarlig.

De nye SCC’er indeholder både ændringer som følge af vedtagelsen af GDPR, den generelle teknologiske udvikling og Schrems II-dommen.

Generelt er de nye SCC’er meget mere fleksible end de eksisterende SCC’er og indeholder mulighed for at tilføje flere bestemmelser eller foranstaltninger til SCC’erne, så længe de ikke er i konflikt med SCC’erne (eller de rettigheder, som tilkommer de registrerede i EU’s Charter om grundlæggende rettigheder). Fleksibiliteten kommer også til udtryk ved, at dokumenterne – i modsætning til de eksisterende SCC’er – er indrettet til at omfatte flere importører og eksportører, herunder mulighed for at tilføje nye parter på allerede eksisterende aftaler.

De nye SCC’er indeholder i afsnit 15 en beskrivelse af dataimportørens forpligtelse til at orientere dataeksportøren i tilfælde af, at offentlige myndigheder tilgår de overførte personoplysninger. Afsnittet er en udvidelse af en lignende forpligtelse i de eksisterende SCC’er, og har til formål at sikre beskyttelsen af personoplysninger i tilfælde, hvor offentlige myndigheder i tredjelande tiltvinger sig adgang til personoplysninger på en måde, der er uforenelig med europæisk lovgivning og databeskyttelsesprincipper. Udvidelsen af denne forpligtelse er dermed en direkte følge af Schrems II-afgørelsen.

Schrems II-sagens aftryk på databeskyttelsesretten afspejles også i appendix I, annex II til de nye SCC’er. Præamblen til EU-Kommissionens beslutning om vedtagelsen af de nye SCC’er angiver i tråd med det Europæiske Databeskyttelsesråds udkast til vejledning om internationale overførsler af personoplysninger, at parterne, inden overførsel af personoplysninger påbegyndes, skal vurdere om overførselsgrundlaget reelt vil være effektivt i modtagerlandet, samt vurdere hvilke supplerende foranstaltninger det eventuelt er nødvendigt at implementere for at sikre overførselsgrundlagets effektivitet. I annexet skal de tekniske og organisatoriske sikkerhedsforanstaltninger, som dataimportøren skal anvende, beskrives. De nye SCC’er oplister en række eksempler på supplerende foranstaltninger, der kan anvendes, og SCC’erne indeholder dermed som noget nyt en lille ”værktøjskasse”, som kan bruges til at lette arbejdet med overholdelse af de databeskyttelsesretlige regler i forbindelse med overførsler af personoplysninger.  Eksemplerne omfatter bl.a. pseudonymisering, kryptering, sikring af fysiske lokaliteter og logning, men beskriver ikke nærmere, hvilke konkrete krav der bør stilles til de enkelte foranstaltninger, eller hvilke foranstaltninger der kan være tilstrækkelige i konkrete tilfælde.

Endelig følger det af EU-Kommissionens beslutning om vedtagelse af de nye SCC’er, at de registrerede skal have ret til at modtage en kopi af de SCC’er, der danner grundlag for overførsel af deres personoplysninger, og at de skal informeres om denne rettighed. Det indebærer konkret, at privatlivspolitikker skal indeholde oplysninger om, hvilke kategorier af personoplysninger der overføres på baggrund af SCC’erne, om dataimportøren videreoverfører personoplysninger, og at den registrerede har ret til at modtage en kopi af de SCC’er, der danner grundlag for overførslen af vedkommendes personoplysninger.

De nye SCC’er træder i kraft den 27. juni 2021. I perioden frem til den 27. september 2021 er det stadig muligt at basere overførsler på de eksisterende SCC’er. Fra den 27. september 2021 skal alle overførsler indgås på de nye SCC’er. Alle overførsler, som er eller frem til den 27. september bliver baseret på de ”gamle” SCC’er, skal senest den 27. december 2022 være udskiftet med de nye SCC’er eller et andet gyldigt overførselsgrundlag.

Nye standardkontraktbestemmelser til brug mellem dataansvarlige og databehandlere
De standardkontraktbestemmelser til brug mellem dataansvarlige og databehandlere, som er vedtaget sammen med SCC’erne, udgør konkret en databehandleraftale, hvis bestemmelser er forhåndsgodkendt af EU-Kommissionen. Det indebærer, at standarden indholdsmæssigt lever op til kravene til databehandleraftaler i GDPR, og at tilsynsmyndighederne i forbindelse med et eventuelt tilsyn ikke vil efterprøve de forud forfattede bestemmelser, så længe de ikke er ændret.

Standarden minder indholdsmæssigt meget om Datatilsynets standardkontraktbestemmelser. Dog er bilagene til EU-Kommissionens standardkontraktbestemmelser væsentligt mindre omfattende end bilagene til Datatilsynets standardkontraktbestemmelser.

Bech-Bruuns kommentar
Med vedtagelsen af de nye SCC’er har EU-Kommissionen, udover at modernisere SCC-setuppet, gjort alvor af de forpligtelser til at sikre den reelle beskyttelse af personoplysninger i forbindelse med overførsel af personoplysninger til tredjelande, der følger af Schrems II-afgørelsen.

SCC’erne bruges i dag i stort omfang som overførselsgrundlag, og med den nye modulære opbygning, der bidrager til øget fleksibilitet i SCC’erne, forventes det, at SCC’erne fortsat vil være det mest anvendte overførselsgrundlag fremadrettet.

Dataansvarlige og databehandlere, som overfører personoplysninger til ikke-sikre tredjelande på baggrund af de eksisterende SCC’er, bør derfor allerede nu iværksætte en proces, som sikrer overgang til de nye SCC’er. Processen bør på kort og lidt længere sigt indeholde følgende elementer:

På kort sigt (de kommende tre måneder):

  • Overvej om overførsler, som iværksættes i de kommende tre måneder, skal baseres på de eksisterende eller de nye SCC’er (og hvordan I forholder jer, hvis jeres samarbejdspartner ikke har den samme tilgang).


På lidt længere sigt (3-18 måneder):

  • Implementering af en procedure der sikrer, at alle relevante internationale dataoverførsler baseres på de nye SCC’er.
  • Overblik over eksisterende internationale dataoverførsler, herunder:
  • Identifikation af overførsler baseret på de eksisterende SCC’er.
  • Identifikation af eventuelle eksisterende overførsler som er omfattet af de nye overførselssituationer – databehandler til databehandler og databehandler til dataansvarlig.
  • Overblik over hvilke aftaler med SCC’er inkluderet, som enten skal genforhandles eller forventes genforhandlet inden for de kommende 18 måneder.
  • Påbegyndelse af processen med erstatning af eksisterende SCC’er med nye SCC’er.

De nye standardkontraktbestemmelser, der er vedtaget sammen med de nye SCC’er, er udarbejdet med særligt fokus på, at standardkontraktbestemmelserne skal kunne anvendes i samspil med SCC’erne i de tilfælde, hvor en dataansvarlig anvender en kæde af databehandlere, og hvor den første databehandler er etableret i EU, og der først sker overførsel af personoplysninger til en databehandler i et ikke-sikkert tredjeland på et senere tidspunkt i kæden. Dataansvarlige med databehandlerkæder, som både indeholder overladelser indenfor og udenfor EU, kan dermed med fordel fremadrettet anvende EU-Kommissionens nye standardkontraktbestemmelser som grundlag for overførslerne til databehandlere i EU fremfor Datatilsynets eksisterende standard.

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Har I behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, er I meget velkomne til at kontakte én af vores specialister på området.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Markedsføringssamtykke - det skal du være opmærksom på
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted