Nye SCCs skal sikre personopplysninger som overføres til tredjeland

14/06/21

Person bruker skytjenester på en laptop

En «overføring av personopplysninger» skjer ikke bare hvor personopplysninger blir overført fra et EU-/EØS-land til et tredjeland. Tilgang til data fra et tredjeland anses også som en «overføring av personopplysninger». De nye SCC-ene kan bl.a. brukes av virksomheter som anvender skytjenester som understøttes av servere i tredjeland. Illustrasjonsfoto: Sigmund på Unsplash

EU-kommisjonen har vedtatt endelig versjon av EU Standard Contractual Clauses («SCC»), som er det vanligste overføringsgrunnlaget for overføring av personopplysninger til land utenfor EU/EØS («tredjeland»). De nye bestemmelsene sikrer bl.a. et sterkere beskyttelsesnivå for overførte personopplysninger sammenlignet med tidligere og inneholder krav om at det skal gjøres vurderinger i tråd med Schrems II-dommen.

Hva er SCCs? 

SCCs er standardiserte kontraktsbestemmelser som forplikter avtalepartene til å behandle personopplysninger i tråd med kravene i GDPR. Bestemmelsene gjør det mulig å overføre personopplysninger til land utenfor EU/EØS som ikke har et tilstrekkelig beskyttelsesnivå. 

Hva er nytt?

De nye SCC-ene inneholder flere nyvinninger og kvalitetsforbedringer som vil øke standardkontraktenes anvendelighet. En av disse nyvinningene er en situasjons- og modulbasert tilnærming som gjør SCC-ene anvendelige i følgende overføringssituasjoner: 

  • behandlingsansvarlig til behandlingsansvarlig,
  • behandlingsansvarlig til databehandler,
  • databehandler til databehandler, og
  • databehandler til behandlingsansvarlig. 

Det er nå mulig for dataeksportører (avsendere av personopplysninger) å signere SCC-ene i fellesskap, noe som vil gjøre det lettere for større og komplekse virksomheter å ta i bruk bestemmelsene. Videre finnes det en egen bestemmelse som gjør det mulig å tiltre den aktuelle standardavtalen på et senere tidspunkt, noe som gjør SCC-ene mer dynamiske og enkle å tilpasse endringer i behandlingsaktiviteter og utskiftning/inkludering av dataimportører (mottakere av personopplysninger). 

Schrems II-dommen har også satt sitt preg på innholdet i SCC-ene. Det er lagt opp til at lovverket og praksis i tredjelandet skal vurderes for å avklare om disse undergraver beskyttelsen i bestemmelsene. Dette er også i tråd med sekstrinnsprosessen i veilederen til Personvernrådet. Dataimportøren forplikter seg også til å motarbeide potensielle utleverings- og innsynskrav fra offentlige myndigheter i mottakerlandet dersom disse er i strid med loven i mottakerlandet. 

Virksomheter som i dag bruker de gamle SCC-ene bør være spesielt oppmerksomme på disse endringene. 

Behov for en databehandleravtale i tillegg til SCCs?

En annen nyvinning i de nye SCC-ene er at bestemmelsene dekker alle de innholdsmessige kravene til en databehandleravtale etter artikkel 28 i GDPR. Det er derfor ikke nødvendig å inngå en separat databehandleravtale med en databehandler som har signert de nye SCC-ene.

Hva bør din virksomhet gjøre?

De gamle SCC-ene kan fortsatt brukes frem til 27. september. Etter dette må de nye SCC-ene tas i bruk. Dersom din virksomhet i dag overfører personopplysninger til tredjeland på bakgrunn av de gamle SCC-ene, har virksomheten 15 måneder til å implementere de nye SCC-ene. Altså må alle ha implementert nye SCCs innen desember 2022. 

Hvis din virksomhet bruker SCC-er, bør dere allerede nå gjøre dere kjent med innholdet i den nye SCC-en og starte med å vurdere nasjonal lovgivning i aktuelle tredjeland, da dette kan være tid- og ressurskrevende arbeid. Vi anbefaler også å gå i dialog tidlig med de kontraktsmotpartene det blir aktuelt å signere nye SCC-er med, slik at de får god tid til å innrette seg etter de nye kravene.

 


Kontakt oss

Christine Ask Ottesen

Christine Ask Ottesen

Advokat | Partner, PwC Norway

Tlf: 928 09 229