Två nya uppsättningar av standardavtalsklausuler har antagits av EU-kommissionen i dag den 4 juni

Två nya uppsättningar av standardavtalsklausuler har antagits av EU-kommissionen i dag den 4 juni

 

I dag har EU-kommissionen antagit två nya uppsättningar av standardavtalsklausuler (SCC). Den ena uppsättningen ska kunna användas som ett personuppgiftsbiträdesavtal och den andra uppsättningen för överföring av personuppgifter mellan EU/EES och ett tredjeland.

Överföring av personuppgifter mellan EU/EES och tredjeland

Efter den uppmärksammade Schrems II-domen från juli 2020 stod det klart att de befintliga standardavtalsklausulerna inte i sig kan garantera ett tillräckligt skydd för överföring av personuppgifter till ett tredjeland. Domstolen kom fram till att kommissionens beslut 2010/87 om standardavtalsklausuler var fortsatt giltigt men att en bedömning avseende skyddsnivån i ett specifikt tredjeland måste göras av exportören av personuppgifter i varje enskilt fall för att säkerställa ett tillräckligt skydd eller om kompletterande åtgärder behövs.

För att anpassa de befintliga standardavtalsklausulerna har EU-kommissionen antagit en ny uppsättning av standardavtalsklausuler för överföring till tredjeland. Uppsättningen återspeglar kraven som uppställs enligt GDPR och tar även hänsyn till EU-domstolens dom i målet Schrems-II. Denna uppsättning är således tänkt att användas för att tillhandahålla lämpliga skyddsåtgärder enligt artikel 46.1 i GDPR vid överföring av personuppgifter mellan EU/EES och ett tredjeland.

Den nya uppsättningen av standardavtalsklausuler är en mer flexibel version jämfört med de tidigare tre uppsättningar av standardavtalsklausuler vid överföring från EU/EES till ett tredjeland. I den nya uppsättningen kombineras nämligen allmänna klausuler med olika slags ”moduler” för att kunna tillgodose olika typer av överföringar och komplexa överförings-/behandlingskedjor. Därmed kan parterna – utöver de allmänna klausulerna – välja vilken modul som är lämpligast för den aktuella situationen. Det kommer således inte att finnas olika uppsättningar av standardavtalsklausuler enligt olika kommissionsbeslut som det har funnits tidigare. De nya standardavtalsklausulerna har anpassats med en översikt av de olika åtgärder som parter måste vidta för att följa Schrems II-domen. Vidare anges även ett antal exempel på möjliga kompletterande säkerhetsåtgärder såsom kryptering m.m.

Vad händer med de tidigare standardavtalsklausulerna?

De tre uppsättningarna av standardavtalsklausuler som används i dagsläget för överföring av personuppgifter till tredjeland tillkom år 2001, 2004 och 2010 och är grundade på dataskyddsdirektivet (95/46/EG), alltså det direktiv som gällde innan GDPR. Två av dessa standardavtalsklausuler rör förhållandet att en personuppgiftsansvarig som befinner sig inom EU/EES vill överföra personuppgifter till en annan personuppgiftsansvarig i tredjeland. Den tredje rör förhållandet att den personuppgiftsansvariga befinner sig inom EU/EES och personuppgiftsbiträdet befinner sig i tredjeland.

Genom det nya beslutet om standardavtalsklausuler för överföring av personuppgifter från EU/EES till tredjeland anges att de tidigare uppsättningarna från 2001 och 2010 kommer att upphävas tre månader efter att det nya beslutet har trätt i kraft. De äldre uppsättningarna från 2001 och 2010 kommer dock att kunna användas under en övergångsperiod om 15 månader från det att dessa upphävdes (dvs totalt 18 månader). Detta gäller endast för parter som ingick standardavtalsklausulerna innan dessa kommer att upphävas samt under förutsättning att de åtgärder i form av säkerhet och motsvarande vidtagits som är relevant för det tredjelandet dit personuppgifter överförs.

Standardavtalsklausuler mellan en personuppgiftsansvarig och ett personuppgiftsbiträde (”PUB-avtal”)

Den andra uppsättningen av standardavtalsklausuler som antagits är standardiserade klausuler för avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde samt dess eventuella underbiträden. Denna uppsättning uppfyller artiklarna 28.3 och 28.4 i GDPR vilket innebär att parterna kan ingå dessa standardavtalsklausuler i stället för att ta fram ett eget personuppgiftsbiträdesavtal. Standardavtalsklausulerna kan även läggas till i ett bredare avtal där ytterligare skyddsåtgärder kan inkluderas, förutsatt att dessa inte direkt eller indirekt strider mot standardavtalsklausulerna eller påverkar de registrerades fri- och rättigheter. Uppsättningen kan dessvärre inte användas för att uppfylla kraven enligt det femte kapitlet i GDPR för att överföra personuppgifter till ett tredjeland.

Slutsats

I den nya uppsättningen av standardavtalsklausuler för överföring mellan EU/EES och tredjeland behandlas överföringar mellan aktörer i fler kombinationer än de nuvarande – ansvarig till ansvarig, ansvarig till biträde, biträde till biträde och biträde till ansvarig. De nya standardavtalsklausulerna kommer att ha en stor inverkan på tredjelandöverföringar och ställer högre krav vad gäller ansvar för både personuppgiftsansvariga och personuppgiftsbiträden i ljuset av GDPR samt Schrems II-domen. Det återstår att se hur dessa kommer att kunna användas i praktiken och i förhållande till vilka länder samt vilka ytterligare säkerhetsåtgärder som kan behöva vidtas i olika situationer.

Den nya uppsättningen av standardavtalsklausulerna som kan användas av personuppgiftsansvariga och personuppgiftsbiträden för att uppfylla artikel 28.3 och 28.4 kommer väsentligen att förenkla för parter som inte har en befintlig mall. Det ska dock bli intressant att se i vilken utsträckning dessa sistnämnda standardavtalsklausuler faktiskt kommer att användas

Har du frågor om de nya standardavtalsklausulerna? Kontakt gärna oss på Wikström & Partners Advokatbyrå.