EU-Kommissionen har den 4. juni 2021 vedtaget de udvidede og længe ventede nye Standard Contractual Clauses (”SCC’er”), der fremadrettet kan anvendes som grundlag for overførsel af personoplysninger til tredjelande.

Internationale dataoverførsler har været en udfordring for mange dataansvarlige og databehandlere siden GDPR trådte i kraft tilbage i maj 2018. En udfordring som er blevet yderligere kompliceret af skærpet praksis fra EU-Domstolen og den teknologiske udvikling (bl.a. anvendelse af cloud services), hvor internationale dataoverførsler i mange tilfælde er en væsentlig forudsætning. 

EU-Kommissionen sendte i november 2020 et udkast til nye SCC’er i høring. De nye SCC’er skal erstatte de eksisterende SCC’er, der har kunnet anvendes som grundlag for overførsel af personoplysninger siden 2001. Opdateringen af SCC’erne har været ventet, siden GDPR trådte i kraft i maj 2018. Øgede krav til indholdet i databehandleraftaler i GDPR medførte bl.a., at det blev nødvendigt at supplere SCC’er mellem en dataansvarlig og en databehandler med en databehandleraftale. Behovet for en opdatering af de eksisterende SCC’er blev yderligere nødvendiggjort med Schrems II-afgørelsen fra juli 2020, hvor EU-Domstolen fastslog, at der i forbindelse med overførsel af personoplysninger til tredjelande på baggrund af SCC’er skal foretages en konkret vurdering af overførselsgrundlagets effektivitet i modtagerlandet og behovet for at implementere såkaldte ”supplerende beskyttelsesforanstaltninger” i forbindelse med overførslen. EU-Domstolen erklærede samtidig EU-US Privacy Shield-ordningen ugyldig som overførselsgrundlag til ikke-sikre tredjelande.

Dommen har medført stor usikkerhed vedrørende dommens praktiske konsekvenser, og det var først i november 2020, at European Data Protection Board (EDPB) offentliggjorde et ikke-endeligt udkast til, hvad ”supplerende foranstaltninger” konkret skal bestå i. Vedtagelsen af de nye SCC’er skal, i kombination med den endelige version af EDPB’s guidelines vedrørende den praktiske udmøntning af konsekvenserne af kravene i Schrems II-dommen, som forventes offentliggjort inden sommerferien, være med til at reducere denne usikkerhed.

Sammen med de nye SCC’er har EU-Kommissionen vedtaget nogle standardkontraktbestemmelser, der kan anvendes til indgåelse af databehandleraftaler mellem dataansvarlige og databehandlere.

Hvad er nyt?
SCC’erme til brug ved overførsel af personoplysninger til tredjelande er gennemgribende moderniseret og afspejler derfor udviklingen i databeskyttelsesretlig praksis, ligesom ordlyden er opdateret, så den stemmer overens med GDPR.

Hvor de eksisterende SCC’er består af to separate aftaledokumenter, som er begrænset til overførsler mellem henholdsvis to selvstændige dataansvarlige og overførsler fra en dataansvarlig til en databehandler i et ikke-sikkert tredjeland, består de opdaterede SCC’er af ét aftaledokument, der er modulært opbygget, sådan at det kan omfatte en række forskellige overførselsscenarier:

  1. Dataansvarlig til dataansvarlig
  2. Dataansvarlig til databehandler
  3. Databehandler til databehandler
  4. Databehandler til dataansvarlig.

De nye SCC’er indeholder både ændringer som følge af vedtagelsen af GDPR, den generelle teknologiske udvikling og Schrems II-dommen.

Generelt er de nye SCC’er meget mere fleksible end de eksisterende SCC’er og indeholder mulighed for at tilføje flere bestemmelser eller foranstaltninger til SCC’erne, så længe de ikke er i konflikt med SCC’erne (eller de rettigheder, som tilkommer de registrerede i EU’s Charter om grundlæggende rettigheder). Fleksibiliteten kommer også til udtryk ved, at dokumenterne – i modsætning til de eksisterende SCC’er – er indrettet til at omfatte flere importører og eksportører, herunder mulighed for at tilføje nye parter på allerede eksisterende aftaler. 

De nye SCC’er indeholder i afsnit 15 en beskrivelse af dataimportørens forpligtelse til at orientere dataeksportøren i tilfælde af, at offentlige myndigheder tilgår de overførte personoplysninger. Afsnittet er en udvidelse af en lignende forpligtelse i de eksisterende SCC’er, og har til formål at sikre beskyttelsen af personoplysninger i tilfælde, hvor offentlige myndigheder i tredjelande tiltvinger sig adgang til personoplysninger på en måde, der er uforenelig med europæisk lovgivning og databeskyttelsesprincipper. Udvidelsen af denne forpligtelse er dermed en direkte følge af Schrems II-afgørelsen. 

Schrems II-sagens aftryk på databeskyttelsesretten afspejles også i appendix I, annex II til de nye SCC’er. Præamblen til EU-Kommissionens beslutning om vedtagelsen af de nye SCC’er angiver i tråd med det Europæiske Databeskyttelsesråds udkast til vejledning om internationale overførsler af personoplysninger, at parterne, inden overførsel af personoplysninger påbegyndes, skal vurdere om overførselsgrundlaget reelt vil være effektivt i modtagerlandet, samt vurdere hvilke supplerende foranstaltninger det eventuelt er nødvendigt at implementere for at sikre overførselsgrundlagets effektivitet. I annexet skal de tekniske og organisatoriske sikkerhedsforanstaltninger, som dataimportøren skal anvende, beskrives. De nye SCC’er oplister en række eksempler på supplerende foranstaltninger, der kan anvendes, og SCC’erne indeholder dermed som noget nyt en lille ”værktøjskasse”, som kan bruges til at lette arbejdet med overholdelse af de databeskyttelsesretlige regler i forbindelse med overførsler af personoplysninger.  Eksemplerne omfatter bl.a. pseudonymisering, kryptering, sikring af fysiske lokaliteter og logning, men beskriver ikke nærmere, hvilke konkrete krav der bør stilles til de enkelte foranstaltninger, eller hvilke foranstaltninger der kan være tilstrækkelige i konkrete tilfælde.

Endelig følger det af EU-Kommissionens beslutning om vedtagelse af de nye SCC’er, at de registrerede skal have ret til at modtage en kopi af de SCC’er, der danner grundlag for overførsel af deres personoplysninger, og at de skal informeres om denne rettighed. Det indebærer konkret, at privatlivspolitikker skal indeholde oplysninger om, hvilke kategorier af personoplysninger der overføres på baggrund af SCC’erne, om dataimportøren videreoverfører personoplysninger, og at den registrerede har ret til at modtage en kopi af de SCC’er, der danner grundlag for overførslen af vedkommendes personoplysninger. 

De nye SCC’er træder i kraft den 27. juni 2021. I perioden frem til den 27. september 2021 er det stadig muligt at basere overførsler på de eksisterende SCC’er. Fra den 27. september 2021 skal alle overførsler indgås på de nye SCC’er. Alle overførsler, som er eller frem til den 27. september bliver baseret på de ”gamle” SCC’er, skal senest den 27. december 2022 være udskiftet med de nye SCC’er eller et andet gyldigt overførselsgrundlag.

Nye standardkontraktbestemmelser til brug mellem dataansvarlige og databehandlere
De standardkontraktbestemmelser til brug mellem dataansvarlige og databehandlere, som er vedtaget sammen med SCC’erne, udgør konkret en databehandleraftale, hvis bestemmelser er forhåndsgodkendt af EU-Kommissionen. Det indebærer, at standarden indholdsmæssigt lever op til kravene til databehandleraftaler i GDPR, og at tilsynsmyndighederne i forbindelse med et eventuelt tilsyn ikke vil efterprøve de forud forfattede bestemmelser, så længe de ikke er ændret. 

Standarden minder indholdsmæssigt meget om Datatilsynets standardkontraktbestemmelser. Dog er bilagene til EU-Kommissionens standardkontraktbestemmelser væsentligt mindre omfattende end bilagene til Datatilsynets standardkontraktbestemmelser. 

Bech-Bruuns kommentar
Med vedtagelsen af de nye SCC’er har EU-Kommissionen, udover at modernisere SCC-setuppet, gjort alvor af de forpligtelser til at sikre den reelle beskyttelse af personoplysninger i forbindelse med overførsel af personoplysninger til tredjelande, der følger af Schrems II-afgørelsen. 

SCC’erne bruges i dag i stort omfang som overførselsgrundlag, og med den nye modulære opbygning, der bidrager til øget fleksibilitet i SCC’erne, forventes det, at SCC’erne fortsat vil være det mest anvendte overførselsgrundlag fremadrettet. 

Dataansvarlige og databehandlere, som overfører personoplysninger til ikke-sikre tredjelande på baggrund af de eksisterende SCC’er, bør derfor allerede nu iværksætte en proces, som sikrer overgang til de nye SCC’er. Processen bør på kort og lidt længere sigt indeholde følgende elementer:

På kort sigt (de kommende tre måneder):

  • Overvej om overførsler, som iværksættes i de kommende tre måneder, skal baseres på de eksisterende eller de nye SCC’er (og hvordan I forholder jer, hvis jeres samarbejdspartner ikke har den samme tilgang).

På lidt længere sigt (3-18 måneder):

  • Implementering af en procedure der sikrer, at alle relevante internationale dataoverførsler baseres på de nye SCC’er.
  • Overblik over eksisterende internationale dataoverførsler, herunder:
    • Identifikation af overførsler baseret på de eksisterende SCC’er.
    • Identifikation af eventuelle eksisterende overførsler som er omfattet af de nye overførselssituationer – databehandler til databehandler og databehandler til dataansvarlig.
  • Overblik over hvilke aftaler med SCC’er inkluderet, som enten skal genforhandles eller forventes genforhandlet inden for de kommende 18 måneder.
  • Påbegyndelse af processen med erstatning af eksisterende SCC’er med nye SCC’er. 

De nye standardkontraktbestemmelser, der er vedtaget sammen med de nye SCC’er, er udarbejdet med særligt fokus på, at standardkontraktbestemmelserne skal kunne anvendes i samspil med SCC’erne i de tilfælde, hvor en dataansvarlig anvender en kæde af databehandlere, og hvor den første databehandler er etableret i EU, og der først sker overførsel af personoplysninger til en databehandler i et ikke-sikkert tredjeland på et senere tidspunkt i kæden. Dataansvarlige med databehandlerkæder, som både indeholder overladelser indenfor og udenfor EU, kan dermed med fordel fremadrettet anvende EU-Kommissionens nye standardkontraktbestemmelser som grundlag for overførslerne til databehandlere i EU fremfor Datatilsynets eksisterende standard. 

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Har I behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, er I meget velkomne til at kontakte én af vores specialister på området.