EU-kommissionen har antagit två nya uppsättningar standardavtalsklausuler

Den 4 juni 2021 antog EU-kommissionen två nya uppsättningar standardavtalsklausuler. Den ena uppsättningen kommer att kunna användas vid överföring av personuppgifter mellan EU/EES och ett tredje land. Den andra uppsättningen kommer att kunna användas mellan en personuppgiftsansvarig och ett personuppgiftsbiträde och är därmed avsedd att kunna användas som ett personuppgiftsbiträdesavtal.

Standardavtalsklausuler för överföring av personuppgifter mellan EU/EES och ett tredje land

EU-kommissionen har antagit en ny uppsättning standardavtalsklausuler för överföring av personuppgifter till tredje land. Förutom att tydligare återspegla de krav på tredjelandsöverföring som uppställs i GDPR, tar standardavtalsklausulerna även hänsyn till följderna av EU-domstolens dom i det uppmärksammade Schrems II-målet (som det tidigare rapporterats om på Delphi Tech Blog här).

Till skillnad från de tidigare uppsättningarna av standardavtalsklausuler finns den nya uppsättningen endast i en variant. I den nya uppsättningen kombineras dock allmänna klausuler med moduler utformade för att kunna anpassas till olika typer av överföringar och överföringskedjor. Parterna kan därmed anpassa standardavtalet utifrån om det är en överföring mellan personuppgiftsansvarig – personuppgiftsansvarig, personuppgiftsansvarig – personuppgiftsbiträde, personuppgiftsbiträde – personuppgiftsbiträde eller personuppgiftsbiträde – personuppgiftsansvarig. Detta ger en mer flexibel lösning än de tidigare standardavtalsklausulerna som endast var anpassade efter överföring från personuppgiftsansvarig – personuppgiftsansvarig och personuppgiftsansvarig – personuppgiftsbiträde.

Något som särskilt kan lyftas fram i de nya standardavtalsklausulerna är att det i klausul 14 anges att parterna garanterar att de inte har någon anledning att misstänka att lagar och praxis kommer att förhindra dataimportören (i dokumentet kallad uppgiftsinföraren) från att fullgöra sina skyldigheter enligt klausulerna. Vid bedömningen ska särskilt beaktas de särskilda omständigheterna kring överföringen, däribland behandlingskedjans längd, antalet inblandade aktörer, typen av mottagare, kategorier och format på de överförda personuppgifternas samt platsen för lagring av de överförda personuppgifterna. I en fotnot till klausulen anges att om parterna vill förlita sig på sina ”praktiska erfarenheter” av offentliga myndigheters tidigare begäranden om utlämning av data behöver detta stödjas av andra relevanta, objektiva aspekter och parterna måste noggrant överväga huruvida dessa aspekter tillsammans är tillräckliga för att underbygga antagandet. Parterna ska i synnerhet ta hänsyn till om deras praktiska erfarenhet bekräftas av allmänt tillgänglig och tillförlitlig information om offentliga myndigheters begäran att få tillgång till personuppgifter t.ex. genom rättspraxis eller rapporter från oberoende tillsynsorgan. Bedömningen måste vidare dokumenteras och på förfrågan lämnas ut till behörig tillsynsmyndighet.

Klausul 15.2 i standardavtalet anger att dataimportören åtar sig att granska lagligheten hos en offentlig myndighets begäran om utlämnande av uppgifter och bestrida begäran om det finns rimliga skäl att anta att begäran är olaglig enligt det mottagande landets lagstiftning, tillämpliga skyldigheter enligt internationell rätt och ”principer om internationell hövlighet” (eng. principles of international comity). Dataimportören ska vidare uttömma möjligheterna att överklaga begäran. Dataimportören åtar sig även att t.ex. dokumentera sin rättsliga bedömning av begäran och, i den mån det är tillåtet, göra dokumentationen tillgänglig för dataexportören (i dokumentet kallad uppgiftsutföraren) samt att tillhandahålla den minst tillåtna mängden information vid besvarande av begäran om utlämnande av uppgifter.

En ytterligare nyhet i standardavtalsklausulerna är att det i en bilaga till standardavtalsklausulerna anges exempel på tekniska och organisatoriska säkerhetsåtgärder som kan användas vid överföringen såsom kryptering, loggning och uppgiftsminimering.

De nya standardavtalsklausulerna kan användas från den 27 juni 2021. De tidigare uppsättningarna av standardavtalsklausuler från 2001 och 2010 upphävs tre månader efter ikraftträdandet, dvs. den 27 september 2021. De tidigare versionerna kommer dock att kunna användas under en övergångsperiod om 15 månader från upphävandet (dvs. totalt 18 månader). Detta gäller dock endast för parter som ingick standardavtalsklausulerna innan upphävandet. Parter som överför personuppgifter till tredje land med stöd av de tidigare standardavtalsklausulerna behöver alltså byta ut klausulerna till den nya versionen senast den 27 december 2022.

Standardavtalsklausuler mellan personuppgiftsansvarig och personuppgiftsbiträde

Den andra uppsättningen standardavtalsklausuler som antagits av EU-kommissionen är standardavtalsklausuler som kan användas mellan en personuppgiftsansvarig och ett personuppgiftsbiträde, samt eventuella underbiträden. Standardavtalsklausulerna kan användas av parterna istället för att ingå ett separat personuppgiftsbiträdesavtal men är inte avsedd att användas vid en överföring till tredje land. Detta förenklar ingåendet av personuppgiftsbiträdesavtal för parter som inte har ett eget mallavtal att utgå från.

Det nya beslutet om standardavtalsklausuler träder i kraft den 27 juni 2021. Den danska dataskyddsmyndigheten har tidigare tagit fram standardavtalsklausuler för biträdessituationer. Det är ännu oklart om dessa fortsatt kommer kunna användas, eller om de är överspelade i och med EU-kommissionens uppdaterade standardavtalsklausuler.

Kommentar

Standardavtalsklausulerna är anpassade efter att långt från alla överföringar till tredje land sker direkt mellan två personuppgiftsansvariga eller en personuppgiftsansvarig och ett personuppgiftsbiträde, utan att mer komplexa överföringskedjor kan förekomma. De kommer framöver, i ljuset av Schrems II-domen, att få stor betydelse vid överföring av personuppgifter till tredje länder. Vi kommer att återkomma till standardavtalsklausulerna längre fram.

Du kan läsa EU-kommissionens standardavtalsklausuler för överföring till tredje land här, EU-kommissionens standardavtalsklausuler för överföring mellan personuppgiftsansvarig och personuppgiftsbiträden här samt EU-kommissionens pressmeddelande här.

Föregående inlägg

IMY fattar beslut i 1177-ärendet

Nästa inlägg

EU-kommissionen tillåter dataöverföring från EU till Storbritannien

Relaterat innehåll

juli 16, 2020

EU-kommissionen har antagit två nya uppsättningar standardavtalsklausuler

Föregående inlägg

Nästa inlägg

Dom i Schrems II – möjligheterna att föra över personuppgifter till USA begränsas kraftigt

Avgörande från EU-domstolen i Schrems II väntas den 16 juli

Nya rekommendationer från EDPB om överföring av personuppgifter till tredje land

Danska standardklausuler för personuppgiftsbiträdesavtal kan användas i Sverige

Meny

Kontakt

Företaget

EU-kommissionen har antagit två nya uppsättningar standardavtalsklausuler

Föregående inlägg

Nästa inlägg

Dom i Schrems II – möjligheterna att föra över personuppgifter till USA begränsas kraftigt

Avgörande från EU-domstolen i Schrems II väntas den 16 juli

Nya rekommendationer från EDPB om överföring av personuppgifter till tredje land

Danska standardklausuler för personuppgiftsbiträdesavtal kan användas i Sverige

Meny

Kontakt

Företaget

Advokatfirman Delphi vill använda Googles analyscookies för att analysera hur vår hemsida används, i syfte att optimera hemsidan