Standardkontrakter vedr. personoplysninger fra EU til tredjelande: EU-Kommissionen har den 4. juni 2021 vedtaget nye standardkontrakter, som kan anvendes som overførselsgrundlag i forbindelse med overførsler af personoplysninger ud af EU/EØS til usikre tredjelande.

EU-Kommissionen har fastsat en frist for udskiftningen til de nye standardkontrakter til den 27. december 2022, men idet de nugældende standardkontrakter udløber allerede den 27. september 2021 og herefter ikke kan anvendes som overførselsgrundlag, skal alle virksomheder, der overfører personoplysninger til usikre tredjelande, allerede nu igangsætte processen med at etablere de nye standardkontrakter.

Baggrunden for de nye standardkontrakter

De nye standardkontrakter er længe ventede, da de nugældende blev vedtaget i hhv. 2001 og 2010 og dermed stammer fra tiden forinden persondataforordningen. Der har derfor været et stort behov for opdatering af standardkontrakterne, herunder særligt for at tage højde for bestemmelserne i persondataforordningen og den teknologiske udvikling med stadig flere og flere overførsler ud af EU.

Derudover er behovet for at opdatere standardkontrakterne ikke mindst vokset efter, at EU-Domstolens Schrems-II-afgørelse har skærpet kravene, hvis man lovligt skal overføre personoplysninger til usikre tredjelande. Efter denne afgørelse er det nemlig ikke længere lovligt at benytte den såkaldte EU-US Privacy Shield-ordning ved overførsler til USA, hvor mange internationale organisationer har hjemsted. Domstolen har endvidere fastslået, at der altid skal tages konkret stilling til modtagerlandets beskyttelsesniveau for personoplysninger og om fornødent etableres supplerende foranstaltninger.

Læs også vores artikel om Schrems-II-afgørelsen.

Endelig har der været et behov for at udvide fleksibiliteten i standardkontrakterne, så de er anvendelige i langt flere behandlings- og overførselssituationer, idet de nugældende kontrakter kun har kunnet anvendes ved overførsel fra en dataansvarlig til en anden dataansvarlig eller fra en dataansvarlig til en databehandler.

Standardkontrakter vedr. personoplysninger fra EU til tredjelande – de nugældende standardkontrakter udløber allerede den 27. september 2021

Hvad er nyt i standardkontrakterne?

I det følgende gennegår vi de vigtigste ændringer i forbindelse med overgangen til de nye standardkontrakter:

  • Der er nu via en modul-opbyggelse af kontraktbestemmelserne skabt større fleksibilitet i anvendelsen i og med, der er taget højde for yderligere to overførselssituationer. Modulerne omhandler nu i alt 4 overførsler fra:
  • dataansvarlig til dataansvarlig
  • dataansvarlig til databehandler
  • databehandler til databehandler
  • databehandler til dataansvarlig
  • Standardkontrakterne kan nu i sig selv anvendes som databehandleraftale og underdatabehandleraftale, hvorfor det i disse overførselssituationer ikke er nødvendigt også at indgå en særskilt (under)databehandleraftale, som tilfældet er efter de nugældende standardkontrakter.

Du finder her de reviderede anbefalinger: “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” (på engelsk)

Standardkontrakterne indeholder en liste over mulige supplerende foranstaltninger, der kan etableres for at sikre, at de overførte personoplysninger nyder samme beskyttelse, uanset hvor de befinder sig i verden. Kravet om vurderingen af beskyttelsesniveauet og behovet for at iværksætte supplerende foranstaltninger følger af Schrems-II-afgørelsen. Afklaringen af, hvad der konkret kan etableres som supplerende foranstaltning, kom i nogen grad med nye anbefalinger fra Det Europæiske Databeskyttelsesråd i efteråret, og standardkontrakterne bidrager nu med yderligere afklaring heraf. Anbefalingerne er i øvrigt også blevet opdateret efter vedtagelsen af de nye standardkontrakter. Opdateringen i anbefalingerne knytter sig primært til afklaringer og uddybninger vedrørende vurderingen af beskyttelsesniveauet i usikre tredjelande.

Læs også CLEMENS’ tidligere gennemgang af anbefalingerne fra Det Europæiske Databeskyttelsesråd.

Frister for udskiftning

EU-Kommissionen har vedtaget, at de nugældende standardkontrakter fra 2001 og 2010 ophæves med virkning fra den 27. september 2021, hvorefter disse kontrakter ikke kan indgås som gyldigt overførselsgrundlag. Virksomheder kan således udelukkende anvende de nye standardkontrakter som overførselsgrundlag efter den 27. september 2021.

Alle de standardkontrakter, der er indgået på de nugældende standardkontrakter frem til den 27. september 2021, kan dog fortsat benyttes som overførselsgrundlag indtil den 27. december 2022. Dette kræver dog, at den behandling (overførsel), standardkontrakten omhandler, forbliver uændret indtil da, og at brugen af de nugældende standardkontrakter sikrer de fornødne garantier. Skulle der ske nogen ændringer i behandlingen eller i standardkontrakten, vil man som dataeksportør være forpligtet til at udskifte overførselsgrundlaget til de nye standardkontrakter.

Hos CLEMENS anbefaler vi derfor, at man snarest muligt får vurderet, om virksomheden (eller virksomhedens databehandlere) overfører personoplysninger til usikre tredjelande på baggrund EU-Kommissionens standardkontrakter og i givet fald sørger for at få opdateret disse overførselsgrundlag inden fristens udløb.

Har du spørgsmål til denne artikel eller brug for hjælp til at vurdere, om de nye standardkontrakter har betydning for din virksomhed, står vores persondataretlige team naturligvis klar til at hjælpe.