Nye standardkontrakter vedtatt av EU-kommisjonen
Den 4. juni publiserte EU-kommisjonen to nye standardavtaler (SCC) for overføring av personopplysninger, som oppfølging av Schrems II-dommen fra juli 2020.
Den ene standardavtalen gjelder forholdet mellom behandlingsansvarlig og databehandler som begge opererer innenfor EØS-området.
Den andre standardavtalen gjelder overføringer av personopplysninger til tredjeland.
Begge avtalene er innrettet etter nye krav i GDPR, og hensyntar Schrems II-dommen som EU-domstolen avsa 16. juli 2020. Endringene går derfor særlig på:
- økt fokus på tekniske beskyttelsestiltak
- plikt til å undersøke rettstilstanden i tredjelandet (importørlandet for dataene)
- varsling ved myndighetsforespørsler om tilgang til persondataene
- sikre at datasubjekter kan håndheve sine rettigheter i tredjelandet (selv om de ikke er part i avtalen)
Andre oppdateringer:
- overføringsavtale og databehandleravtale er smeltet sammen til en
- avtalen er bygget opp modulært, slik at alle fire overføringskonstellasjoner dekkes (behandlingsansvarlig til databehandler og behandlingsansvarlig, og databehandler til behandlingsansvarlig og databehandler)
- privatrettslige aspekter, som ansvar, er regulert
Se ytterligere detaljer og analyse i vår artikkel om eksport av personopplysninger (se godt nede i artikkelen).
Overgangsperioder
Det er vedtatt to overgangsperioder
- Fra 27. september gjelder ikke de gamle SCC lenger og all ny behandling må finne sted etter de nye SCC (dvs. også endret behandling så lenge den har nye elementer)
- Fra 27. desember 2022 for eksisterende behandling. Tilleggstiltak må likevel vurderes før den tid, ihht. kravene fra Schrems II-dommen og påfølgende veiledning.
I praksis betyr kravene at de fleste organisasjoner med litt dynamiske behandlingsbehov må inn på nye vilkår. Uansett må de vurdere sikringstiltak. I artikkelen om eksport av personopplysninger, kan du se på hvilke trinn du må gjennom etter veiledningen fra det europeiske personvernrådet.
Du finner standardavtalene og mer informasjon om disse her. Lurer du på hva dette har å si for din virksomhet? Kontakt oss her.
Skrevet av praktikant Thale C. G. Gjerdsbakk og personvernadvokat og partner Kristian Foss.