För investerare
Gå till MyFondia

EU-kommissionen har godkänt nya standardavtalsklausuler

Fondia
Insikter 23 september 2021

EU law

EU-kommissionen har den 4 juni 2021 antagit två nya uppsättningar av standardavtalsklausuler, en för överföring av personuppgifter till tredjeländer och en för avtal mellan personuppgiftsansvarig och personuppgiftsbiträde (personuppgiftsbiträdesavtal). Standardavtalsklausulerna för personuppgiftsbiträdesavtal är helt nya, medan standardavtalsklausulerna för överföring av personuppgifter till tredjeländer är avsedda att ersätta de befintliga.

Standardavtalsklausuler för överföringar till tredjeland är en av flera möjliga överföringsmetoder enligt dataskyddsförordningen. Standardavtalsklausulerna för dataöverföring till tredjeland har uppdaterats för att uppfylla kraven i EU-domstolens Schrems II-dom.

Vad förändras med de nya standardavtalsklausulerna?

De nya standardavtalsklausulerna fokuserar på att rätta till bristerna i befintliga standardavtalsklausuler. De nya klausulerna möjliggör överföring av personuppgifter mellan flera olika parter samt att nya avtalsparter därefter kan läggas till i redan existerande överföringsavtal. De nya standardavtalsklausulerna medför också viktiga förändringar i förhållande till företagens ansvar. I framtiden kommer företag som ingår i överföringskedjan av personuppgifter att vara solidariskt ansvariga för skyddet av personuppgifter. Dessutom tillåter de nya standardavtalsklausulerna enskilda registrerade att göra anspråk på fullgörandet av sina egna rättigheter.

 

De nya standardavtalsklausulerna tydliggör och ökar företagens ansvar för att uppnå en tillräcklig skyddsnivå för personuppgifter markant, vilket förutsätter att företag har bättre kännedom om sina samarbetspartners än tidigare.

De nya standardavtalsklausulerna kan användas i följande fall:

1.        Överföring från en personuppgiftsansvarig till en annan

2.       Överföring från personuppgiftsansvarig till personuppgiftsbiträde

3.       Överföring från ett personuppgiftsbiträde till ett annat

4.       Överföring från personuppgiftbiträde till personuppgiftsansvarig

 

De nya standardavtalsklausulerna motsvarar bättre den nuvarande dataskyddsförordningens innehåll och beaktar kraven som ställts i Schrems II -domen. Den som överför information ska bland annat bedöma nivån på skyddet för personuppgifter i tredjeland, bedöma behovet av kompletterande skyddsåtgärder, samt se bedömningarna dokumenteras.

De nya standardavtalsklausulerna ställer likaså krav på den som importerar personuppgifter. Importören ska bland annat informera den som exporterar personuppgifter om standardklausulernas villkor inte kan uppfyllas. Importören ska även, så långt det är möjligt, informera både exportör och registrerade om nationella myndigheter vill ha tillgång till personuppgifterna. De ska även bedöma lagligheten i en sådan förfrågan, om möjligt motsätta sig förfrågan och se till att processen dokumenteras. Med denna reglering strävar EU-kommissionen efter att säkerställa ett tillräckligt skydd av personuppgifter även utanför EU.

 

När träder de nya standardavtalsklausulerna i kraft?

Företag har möjlighet att använda sig av de nya standardavtalsklausulerna redan från och med den 27 juni 2021 (dag för ikraftträdande) men det är inte obligatoriskt eftersom det finns en övergångsperiod. Företag kan använda de gamla standardavtalsklausulerna för nya avtal i tre månaders från dagen för ikraftträdande (till den 27 september 2021). Efter det datumet kan företag inte längre ingå överföringsavtal där de gamla villkoren används. Avtal och användningen av de gamla standardavtalsklausulerna bör uppdateras så att de motsvarar den uppdaterade versionen inom arton månader från dagen för ikraftträdande, d.v.s. senast innan den 27 december 2022.

 

Vad innebär detta för företag?

1.       Obligatorisk riskbedömning: Företag måste bedöma nivån på skyddet för personuppgifter i tredjeland redan innan de nya standardavtalsklausulerna används.

2.      De nya standardavtalsklausulerna ska användas från den 27 september: Företag behöver förbereda sig på att ingå nya personuppgiftsbiträdesavtal och på att uppdatera gamla avtal med samarbetspartners.

3.      Företag behöver lära känna sina samarbetspartners bättre än tidigare: Enligt de nya standardavtalsklausulerna är företag solidariskt ansvariga för skyddet av personuppgifter, vilket förutsätter att man väljer pålitliga samarbetspartners. Företag är också direkt ansvariga gentemot de registrerade.

Standardavtalsklausulerna för överföring av personuppgifter till tredjeland: Standard contractual clauses for international transfers

Standardavtalsvillkor för personuppgiftsbiträdesavtal: Standard contractual clauses for controllers and processors in the EU/EEA

 

EU-rätt
Kommersiella avtal
Privacy

Läs fler aktuella artiklar