Nye standardkontraktbestemmelser for tredjelandsoverførsler - hvad er ændret?
Hvad er ændret siden høringsudkastet?
Der er ikke væsentlige ændringer mellem høringsudkastet og de endelige SCCs om end overgangsbestemmelsen er forlænget fra 12 til i alt 18 måneder i forhold til høringsversionen. Dataansvarlige og databehandlere, som bruger de gamle SCCs til at overføre persondata til tredjelande skal derfor senest den 27. december 2022 være overgået til de nye SCCs. Det er endvidere muligt at indgå de gamle SCCs i op til 3 måneder efter ikrafttrædelsen af de nye SCCs.
Gør man det, skal man dog stadig erstatte med de nye SCC’s inden den 27. december 2022. Man skal derudover være opmærksom på, at brugen af de gamle SCC’s kan indebære et behov for at aftale yderligere kontraktuelle beskyttelsesforanstaltninger for at leve op til EDPB’s anbefalinger om supplerende foranstaltninger.
De endelige SCCs har inkluderet et afsnit (Section III) om ”Lokal lovgivning og forpligtelser i tilfælde af adgang fra offentlige myndigheder”, som er mere uddybende end høringsversionen. Grundlæggende skal parterne garantere, at de ikke har nogen grund til at tro, at lokal lovgivning og praksis i importørens land vil forhindre importøren i at overholde sine forpligtelser i henhold til SCCs. Den endelige version indeholder mere vejledning (primært i en fodnote) om, hvilke faktorer, parterne skal medtage i vurderingen af, om der kan gives denne garanti. Blandt andet kan tidligere erfaring med offentlige myndigheders adgang medtages i vurderingen forudsat, at denne erfaring understøttes af relevante objektive faktorer. Man bør derfor dokumentere denne erfaring med offentligt tilgængelige og pålidelige oplysninger om offentlige myndigheders anmodninger om at få adgang til personoplysninger - for eksempel via retspraksis eller rapporter fra uafhængige tilsynsorganer.
Det er interessant, at Kommissionen åbner op for denne mulighed, eftersom det Europæiske Databeskyttelsesråd ("EDPB") i deres udkast til Anbefalinger til tredjelandsoverførsler som følge af Schrems II (”Anbefalinger”), antydede, at det slet ikke er muligt at tage denne type praktiske erfaringer og andre subjektive forhold i betragtning. Uafhængige kilder har berettet om intense forhandlinger mellem Kommissionen og EDPB om netop dette spørgsmål, og vi forventer optimistisk, at EDPBs endelige Anbefalinger kommer til at afspejle Kommissions risikobaserede tilgang. Det vil unægteligt gøre opgaven lidt nemmere for dataeksportører.
Endvidere har de endelige SCCs ændret lidt i bestemmelserne om importørens forpligtelser, såfremt importøren bliver mødt med anmodning om udlevering eller adgang til de overførte data fra offentlige myndigheder. Importøren skal anfægte anmodningen, hvis der er rimelig grund til at tro, at den er ulovlig både efter tredjelandets lovgivning eller efter internationale forpligtelser. Hvis relevant, skal appelmuligheder også udtømmes.
Opbygning af de nye SCCs
Den modulære opbygning af de nye SCCs er bibeholdt, og de endelige SCCs indeholder fortsat 4 moduler, som hver repræsenterer et overførselsscenarie:
- Dataansvarlig - dataansvarlig
- Dataansvarlig - databehandler
- Databehandler - databehandler
- Databehandler – dataansvarlig
De nye SCCs kan bruges af alle dataeksportører, som er omfattet af GDPR, herunder også eksportører, som ikke er etableret i EU, men som er omfattet af GDPR, fordi de tilbyder varer eller tjenesteydelser til registrerede indenfor EU (GDPR art. 3, stk.2, litra a).
De gamle SCCs regulerede alene overførselsscenarie 1 og 2, hvorimod de nye, som en kærkommen fornyelse, medtager alle relevante overførselsscenarier. Det har hidtil krævet særlig tilpasning af kontraktkomplekset at beskrive overførselsscenarierne 3 og 4, hvilket ikke længere er nødvendigt med de nye SCCs.
Hvordan håndterer de nye SCCs Schrems II problematikken
Generelt refererer de nye SCCs flere gange til Schrems II afgørelsen, og grundlæggende har Kommissionen videreført og udbygget principperne i de gamle SCCs, som blev tryktestet af EU-Domstolen i "Schrems II".
De grundlæggende principper er:
- En forpligtelse for eksportøren (assisteret af importøren) til at overveje beskyttelsesniveauet for personoplysninger i tredjelandet.
I forhold til de gamle SCCs er forpligtelsen udbygget således, at eksportøren nu, med hjælp fra importøren, skal dokumentere sin ”transfer impact assessment” (også kaldet en ”TIA”) af overførslen og på anmodning stille den til rådighed for den kompetente tilsynsmyndighed. Det er med andre ord en forpligtelse at udarbejde en TIA inden overførslen. Bestemmelserne beskriver de faktorer, som eksportøren skal overveje i sin TIA. Ud over at overveje lovgivning og praksis i tredjelandet, lægger Kommissionen som nævnt op til, at denne vurdering også må medtage subjektive forhold, såsom kontraktens varighed, omfang og regelmæssighed af overførslerne, type af modtager, formålet med overførslen og karakteren af de overførte data. Denne vurdering kommer utvivlsomt til at kræve et stort arbejde for eksportørerne. En forpligtelse for importøren til at underrette eksportøren om enhver manglende evne fra importørens side til at overholde SCC'er. De nye SCCs inkluderer også flere forpligtelser for importøren i relation til offentlige myndigheders forsøg på at få adgang til personoplysninger, der stammer fra EU. Importøren skal, hvor det er muligt:
underrette både eksportøren og den registrerede om, at importøren har modtaget en anmodning fra en offentlig myndighed om adgang til sådanne data;vurdere lovligheden af en sådan anmodning under henvisning til gældende lovgivning i tredjelandet og internationale forpligtelser; og
anfægte anmodningen, hvis der er grund hertil, og hvis muligt søge at suspendere anmodningen, mens sagen kører og i alle tilfælde alene videregive den mindst mulige mængde data.
Importøren skal dokumentere disse anmodninger, stille dokumentationen til rådighed for eksportøren samt udarbejde en gennemsigtighedsrapport (dvs. mere generelle oplysninger om karakteren af modtagne anmodninger). Disse forpligtelser er alle taget fra EDPBs høringsversion til Anbefalinger.
De nye SCCs indeholder ligesom de gamle SCCs et bilag, hvor parterne skal redegøre for øvrige tekniske og organisatoriske foranstaltninger, der er implementeret for at beskytte de overførte data.- En forpligtelse for eksportøren til at suspendere dataoverførsler eller opsige aftalen, hvis ikke importøren lever op til sine forpligtelser.
Hvis en eksportør har grund til at tro, at en importør ikke kan opfylde sine forpligtelser, enten fordi importøren har underrettet eksportøren herom, eller eksportøren selv har nået denne konklusion, kan dataeksportøren kun fortsætte med at overføre personoplysningerne, hvis yderligere sikkerhedsforanstaltninger implementeres.
Bird & Birds bemærkninger
Overgangen fra de gamle SCCs til de nye vil unægteligt kræve meget arbejde fra både eksportørens og importørens side. Det er derfor positivt, at overgangsperioden er forlænget
Det bliver dog interessant at se, hvordan de nationale datatilsyn tager overgangsperioden til sig. Eksempelvis har det portugisiske datatilsyn allerede suspenderet en overførsel til USA, der var baseret på de gamle SCCs, og der er indgivet flere andre klagesager vedrørende de gamle SCCs hos andre tilsyn. Vi anbefaler derfor, at man så vidt det er muligt allerede i overgangsperioden bruger de nye SCCs fremfor de gamle på nye overførsler. Desuden bør dataansvarlige og databehandlere allerede nu begynde at planlægge overgangen fra de gamle SCCs til de nye. Bruger man de gamle SCCs, viser sagen fra Portugal, at man ikke kan vente med at foretage en Transfer Impact Assessment i overgangsperioden. Den skal foretages allerede nu og dokumenteres. Konkluderer Transfer Impact Assessment, at der er behov for supplerende foranstaltninger, skal disse implementeres.
Det er endvidere interessant, at Kommissionen trods pres fra EDPB har holdt fast i den risikobaserede tilgang til vurderingen af tredjelandets lovgivning. Det bliver interessant at se, om EDPB ændrer sin holdning i deres endelige Anbefalinger. Noget tyder på, at det meget vel kan være tilfældet. Den risikobaserede tilgang vil unægtelig muliggøre visse overførsler, som ikke ellers kunne være sket lovligt, såfremt Kommissionen havde lagt sig op ad EDPBs høringsudkast til Anbefalinger.
Det er også positivt, at de endelige SCCs indeholder mere vejledning til vurderingen af tredjelandets lov og praksis end høringsversionen. Det er dog stadig en meget vanskelig vurdering at foretage i praksis, eftersom den kræver et indgående kendskab til lokal lovgivning. Vi ser allerede nu et voksende marked for udarbejdelse af forskellige juridiske vurderinger af lokal lovgivning foretaget af oversøiske advokater. Kommissionen bør af samme årsag overveje at udarbejde en egentlig positivliste over lande, hvor der ikke kræves supplerende foranstaltninger.