Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Nye standardkontraktbestemmelser for tredjelandsoverførsler - hvad er ændret?

Bird & Bird
14/06/2021
Nye standardkontraktbestemmelser for tredjelandsoverførsler - hvad er ændret?
Bird & Bird logo
Den 4. juni 2021 offentliggjorde Europa-Kommissionen sin endelige beslutning om vedtagelse af de nye standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande (også kendt som Standard Contractual Clauses eller ’SCCs’). De nye SCCs kommer i forlængelse af Kommissionens udkast, som blev sendt i høring den 12. november 2020. De nye SCCs kan anvendes fra den 27. juni 2021.

Hvad er ændret siden høringsudkastet?

Der er ikke væsentlige ændringer mellem høringsudkastet og de endelige SCCs om end overgangsbestemmelsen er forlænget fra 12 til i alt 18 måneder i forhold til høringsversionen. Dataansvarlige og databehandlere, som bruger de gamle SCCs til at overføre persondata til tredjelande skal derfor senest den 27. december 2022 være overgået til de nye SCCs. Det er endvidere muligt at indgå de gamle SCCs i op til 3 måneder efter ikrafttrædelsen af de nye SCCs.


Gør man det, skal man dog stadig erstatte med de nye SCC’s inden den 27. december 2022. Man skal derudover være opmærksom på, at brugen af de gamle SCC’s kan indebære et behov for at aftale yderligere kontraktuelle beskyttelsesforanstaltninger for at leve op til EDPB’s anbefalinger om supplerende foranstaltninger.


De endelige SCCs har inkluderet et afsnit (Section III) om ”Lokal lovgivning og forpligtelser i tilfælde af adgang fra offentlige myndigheder”, som er mere uddybende end høringsversionen. Grundlæggende skal parterne garantere, at de ikke har nogen grund til at tro, at lokal lovgivning og praksis i importørens land vil forhindre importøren i at overholde sine forpligtelser i henhold til SCCs. Den endelige version indeholder mere vejledning (primært i en fodnote) om, hvilke faktorer, parterne skal medtage i vurderingen af, om der kan gives denne garanti. Blandt andet kan tidligere erfaring med offentlige myndigheders adgang medtages i vurderingen forudsat, at denne erfaring understøttes af relevante objektive faktorer. Man bør derfor dokumentere denne erfaring med offentligt tilgængelige og pålidelige oplysninger om offentlige myndigheders anmodninger om at få adgang til personoplysninger - for eksempel via retspraksis eller rapporter fra uafhængige tilsynsorganer.


Det er interessant, at Kommissionen åbner op for denne mulighed, eftersom det Europæiske Databeskyttelsesråd ("EDPB") i deres udkast til Anbefalinger til tredjelandsoverførsler som følge af Schrems II (”Anbefalinger”), antydede, at det slet ikke er muligt at tage denne type praktiske erfaringer og andre subjektive forhold i betragtning. Uafhængige kilder har berettet om intense forhandlinger mellem Kommissionen og EDPB om netop dette spørgsmål, og vi forventer optimistisk, at EDPBs endelige Anbefalinger kommer til at afspejle Kommissions risikobaserede tilgang. Det vil unægteligt gøre opgaven lidt nemmere for dataeksportører.


Endvidere har de endelige SCCs ændret lidt i bestemmelserne om importørens forpligtelser, såfremt importøren bliver mødt med anmodning om udlevering eller adgang til de overførte data fra offentlige myndigheder. Importøren skal anfægte anmodningen, hvis der er rimelig grund til at tro, at den er ulovlig både efter tredjelandets lovgivning eller efter internationale forpligtelser. Hvis relevant, skal appelmuligheder også udtømmes.

Opbygning af de nye SCCs

Den modulære opbygning af de nye SCCs er bibeholdt, og de endelige SCCs indeholder fortsat 4 moduler, som hver repræsenterer et overførselsscenarie:


  1. Dataansvarlig - dataansvarlig
  2. Dataansvarlig - databehandler
  3. Databehandler - databehandler
  4. Databehandler – dataansvarlig

De nye SCCs kan bruges af alle dataeksportører, som er omfattet af GDPR, herunder også eksportører, som ikke er etableret i EU, men som er omfattet af GDPR, fordi de tilbyder varer eller tjenesteydelser til registrerede indenfor EU (GDPR art. 3, stk.2, litra a).


De gamle SCCs regulerede alene overførselsscenarie 1 og 2, hvorimod de nye, som en kærkommen fornyelse, medtager alle relevante overførselsscenarier. Det har hidtil krævet særlig tilpasning af kontraktkomplekset at beskrive overførselsscenarierne 3 og 4, hvilket ikke længere er nødvendigt med de nye SCCs.


Hvordan håndterer de nye SCCs Schrems II problematikken

Generelt refererer de nye SCCs flere gange til Schrems II afgørelsen, og grundlæggende har Kommissionen videreført og udbygget principperne i de gamle SCCs, som blev tryktestet af EU-Domstolen i "Schrems II".


De grundlæggende principper er:


  1. En forpligtelse for eksportøren (assisteret af importøren) til at overveje beskyttelsesniveauet for personoplysninger i tredjelandet.

    I forhold til de gamle SCCs er forpligtelsen udbygget således, at eksportøren nu, med hjælp fra importøren, skal dokumentere sin ”transfer impact assessment” (også kaldet en ”TIA”) af overførslen og på anmodning stille den til rådighed for den kompetente tilsynsmyndighed. Det er med andre ord en forpligtelse at udarbejde en TIA inden overførslen. Bestemmelserne beskriver de faktorer, som eksportøren skal overveje i sin TIA. Ud over at overveje lovgivning og praksis i tredjelandet, lægger Kommissionen som nævnt op til, at denne vurdering også må medtage subjektive forhold, såsom kontraktens varighed, omfang og regelmæssighed af overførslerne, type af modtager, formålet med overførslen og karakteren af de overførte data. Denne vurdering kommer utvivlsomt til at kræve et stort arbejde for eksportørerne.

  2. En forpligtelse for importøren til at underrette eksportøren om enhver manglende evne fra importørens side til at overholde SCC'er. De nye SCCs inkluderer også flere forpligtelser for importøren i relation til offentlige myndigheders forsøg på at få adgang til personoplysninger, der stammer fra EU. Importøren skal, hvor det er muligt:


    underrette
    både eksportøren og den registrerede om, at importøren har modtaget en anmodning fra en offentlig myndighed om adgang til sådanne data;

    vurdere lovligheden af en sådan anmodning under henvisning til gældende lovgivning i tredjelandet og internationale forpligtelser; og

    anfægte anmodningen, hvis der er grund hertil, og hvis muligt søge at suspendere anmodningen, mens sagen kører og i alle tilfælde alene videregive den mindst mulige mængde data.


    Importøren skal dokumentere disse anmodninger, stille dokumentationen til rådighed for eksportøren samt udarbejde en gennemsigtighedsrapport (dvs. mere generelle oplysninger om karakteren af modtagne anmodninger). Disse forpligtelser er alle taget fra EDPBs høringsversion til Anbefalinger.

    De nye SCCs indeholder ligesom de gamle SCCs et bilag, hvor parterne skal redegøre for øvrige tekniske og organisatoriske foranstaltninger, der er implementeret for at beskytte de overførte data.

  3. En forpligtelse for eksportøren til at suspendere dataoverførsler eller opsige aftalen, hvis ikke importøren lever op til sine forpligtelser.

    Hvis en eksportør har grund til at tro, at en importør ikke kan opfylde sine forpligtelser, enten fordi importøren har underrettet eksportøren herom, eller eksportøren selv har nået denne konklusion, kan dataeksportøren kun fortsætte med at overføre personoplysningerne, hvis yderligere sikkerhedsforanstaltninger implementeres.


Bird & Birds bemærkninger

Overgangen fra de gamle SCCs til de nye vil unægteligt kræve meget arbejde fra både eksportørens og importørens side. Det er derfor positivt, at overgangsperioden er forlænget


Det bliver dog interessant at se, hvordan de nationale datatilsyn tager overgangsperioden til sig. Eksempelvis har det portugisiske datatilsyn allerede suspenderet en overførsel til USA, der var baseret på de gamle SCCs, og der er indgivet flere andre klagesager vedrørende de gamle SCCs hos andre tilsyn. Vi anbefaler derfor, at man så vidt det er muligt allerede i overgangsperioden bruger de nye SCCs fremfor de gamle på nye overførsler. Desuden bør dataansvarlige og databehandlere allerede nu begynde at planlægge overgangen fra de gamle SCCs til de nye. Bruger man de gamle SCCs, viser sagen fra Portugal, at man ikke kan vente med at foretage en Transfer Impact Assessment i overgangsperioden. Den skal foretages allerede nu og dokumenteres. Konkluderer Transfer Impact Assessment, at der er behov for supplerende foranstaltninger, skal disse implementeres.


Det er endvidere interessant, at Kommissionen trods pres fra EDPB har holdt fast i den risikobaserede tilgang til vurderingen af tredjelandets lovgivning. Det bliver interessant at se, om EDPB ændrer sin holdning i deres endelige Anbefalinger. Noget tyder på, at det meget vel kan være tilfældet. Den risikobaserede tilgang vil unægtelig muliggøre visse overførsler, som ikke ellers kunne være sket lovligt, såfremt Kommissionen havde lagt sig op ad EDPBs høringsudkast til Anbefalinger.


Det er også positivt, at de endelige SCCs indeholder mere vejledning til vurderingen af tredjelandets lov og praksis end høringsversionen. Det er dog stadig en meget vanskelig vurdering at foretage i praksis, eftersom den kræver et indgående kendskab til lokal lovgivning. Vi ser allerede nu et voksende marked for udarbejdelse af forskellige juridiske vurderinger af lokal lovgivning foretaget af oversøiske advokater. Kommissionen bør af samme årsag overveje at udarbejde en egentlig positivliste over lande, hvor der ikke kræves supplerende foranstaltninger.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
AI-forordningen og højrisikosystemerne
AI-forordningen og højrisikosystemerne
09/07/2021
Persondata, EU-ret
Hvor længe må du opbevare personoplysninger fra en rekrutteringsproces?
Hvor længe må du opbevare personoplysninger fra en rekrutteringsproces?
06/07/2021
Persondata
Logningssagen: Landsretten opretholder Logningsbekendtgørelsen med henvisning til de begrænsninger, som EU-rettens forrang opstiller
Logningssagen: Landsretten opretholder Logningsbekendtgørelsen med henvisning til de begrænsninger, som EU-rettens forrang opstiller
02/07/2021
Persondata
Forslaget til AI-forordning og forholdet til GDPR
Forslaget til AI-forordning og forholdet til GDPR
25/06/2021
Persondata
Nye standardkontraktbestemmelser for tredjelandsoverførsler - hvad er ændret?
Nye standardkontraktbestemmelser for tredjelandsoverførsler - hvad er ændret?
14/06/2021
Persondata
Internationale dataoverførsler – nye Standard Contractual Clauses vedtaget
Internationale dataoverførsler – nye Standard Contractual Clauses vedtaget
09/06/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted