Vilken version av standardavtalsklausuler för överföring av personuppgifter från EU till tredje land använder ert företag?

I slutet på december 2022 kommer det att bli obligatoriskt för företag att börja använda Europeiska kommissionens standardavtalsklausuler för gränsöverskridande dataöverföring till tredje land. Mathilde Lecomte, en av Fondias experter inom dataskyddsfrågor, upplyser dig om vad du behöver veta om de så kallade SCC:erna, tidsfristen och vad ditt företag behöver vidta för åtgärder för att överföringen till tredje land ska fortsätta vara förenlig med dataskyddsreglerna.

Standardavtalsklausuler

Europeiska kommissionens standardavtalsklausuler är bland annat ett verktyg som används för gränsöverskridande dataöverföring till tredjeländer. Utan ett sådant verktyg är överföringen av personuppgifter från Europeiska unionen till tredjeländer begränsad. SCC:erna är därför ett viktigt verktyg för företag i hela världen.

Den 4 juni 2021 antog Europeiska kommissionen två nya uppsättningar standardavtalsklausuler som ersätter de tidigare uppsättningarna av standardavtalsklausuler som utfärdades enligt 1995 års dataskyddsdirektiv. Den första uppsättningen utformades för förhållandet mellan personuppgiftsansvariga och personuppgiftsbiträde och den andra uppsättningen var tänkt som ett verktyg för överföring av uppgifter till tredjeländer. De moderniserade klausulerna om skydd av personuppgifter utformades för att överensstämma med den allmänna dataskyddsförordningen (GDPR) och Europeiska kommissionens beslut var länge väntat av intressenterna efter EU-domstolens Schrems II-dom (där Privacy Shield, ett annat verktyg för överföring av uppgifter mellan Europeiska unionen och USA, ogiltigförklarades och domstolen drog slutsatsen att klausulerna om skydd av personuppgifter i sig själva inte är tillräckliga för att göra uppgiftsöverföringen laglig). Vi kommer att fokusera på SCC:erna som verktyg för överföring av uppgifter till tredjeländer.

Företagen har beviljats en övergångsperiod innan användningen av de nya SCC:erna blir obligatorisk, men tidsfristen för genomförandet närmar sig snabbt. Här är några saker som ditt företag måste tänka på i höst för att fortsätta att följa dataskyddsreglerna den 27 december 2022, om du inte vill tillbringa julafton på kontoret.

När är den stora tidsfristen och vad behöver vi göra?

Alla avtal om skydd av personuppgifter som ingås efter den 27 september 2021 måste innehålla de nya SCC:erna. Avtal som ingåtts före den 27 september 2021 och som använder de gamla klausulerna måste uppdateras så att de innehåller eller hänvisar till de nya klausulerna senast den 27 december 2022, för att fortsätta att dra nytta av den rättssäkerhet som klausulerna erbjuder. Om avtalen inte uppdateras med den senaste versionen av SCC:erna finns det en risk för att överföringen av personuppgifter till berörda tredjeländer inte längre är förenlig med dataskyddsreglerna.

Finns det några fördelar för vår verksamhet?

SCC är färdiga uppsättningar av klausuler som har godkänts i förväg. De är inte obligatoriska att använda, men kan enkelt införas i ett affärsavtal utan att behöva förhandla med affärspartner. Med tanke på att de erbjuder en hög skyddsnivå när personuppgifter överförs utanför EU/EES kan de användas för internationella dataöverföringar utan att en dataskyddsmyndighet behöver godkänna dem i förväg.

Vad är då nytt med dessa uppdateringar av SCC:er?

En viktig aspekt är att de nya SCC som ska användas för dataöverföringar till tredjeländer har en modulär struktur, vilket gör att de kan täcka fler scenarier än de gamla: personuppgiftsansvarig till personuppgiftsansvarig (modul 1), personuppgiftsansvarig till personuppgiftsbiträde (modul 2), personuppgiftsbiträde till personuppgiftsbiträde (modul 3), personuppgiftsbiträde till personuppgiftsansvarig (modul 4). Detta innebär att parterna nu måste välja den modul som är tillämplig på deras situation för att anpassa sina skyldigheter enligt SCC till sin roll och sitt ansvar i samband med den aktuella databehandlingen.  

Hur kan SCC vara ett verktyg för internationella dataöverföringar?

Syftet med SCC:erna är att tillhandahålla lämpliga skyddsåtgärder för att se till att personuppgifter som överförs på grundval av dem får samma skyddsnivå som i EU. I SCC:erna föreskrivs bland annat att en konsekvensbedömning av överföringen ska göras innan en internationell dataöverföring äger rum, med dokumentation av lagstiftningen i mottagarlandet och de ytterligare skyddsåtgärder som finns på plats. Med tanke på att SCC:er är förhandsgodkända standardklausuler bör innehållet inte ändras annat än att man väljer mellan de olika modulerna och alternativen. Om man gör otillbörliga ändringar i texten skulle det undergräva den rättssäkerhet som SCC:erna ger och de skulle inte längre kunna användas som grund för internationell dataöverföring. Det är dock tillåtet att lägga till andra klausuler eller ytterligare skyddsåtgärder, förutsatt att de inte strider mot SCC:erna.

Var kan vi hitta dessa avtal?

SCC:erna för internationella överföringar hittas här.

Mer om de nya SCC:erna

Europeiska kommissionen har utfärdat frågor och svar om de nya SCC:erna. Om du har ytterligare frågor om SCC:erna eller behöver hjälp med att se över dina affärsavtal mot bakgrund av de nya SCC:erna hjälper vi dig gärna.

Dataskydd och integritet på Fondia

Fondias erfarna och kunniga dataskyddsexperter hjälper dig med alla typer av frågor som rör behandling av personuppgifter och integritetsskydd. Vi ger bland annat konkreta råd om efterlevnad av kraven i den allmänna dataskyddsförordningen (GDPR) och ePrivacy-reglerna och hittar affärslösningar för utmaningar inom dataskydd. Tillsammans har våra experter bred erfarenhet från roller som dataskyddsombud, intern jurist, del av ledningsgrupp, del av dataskyddsgrupp och konsultroller. Vi erbjuder också DPOaaS, dataskyddsombud som en tjänst.

Tveka inte att kontakta oss - välkommen till Fondia

Standardavtalsklausuler
SCC
Personuppgifter
Gränsöverskridande dataöverföring

Läs fler aktuella artiklar