Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
Nyhed
GDPR

Efter Schrems II-dommen har SCC’er i stigende omfang været anvendt som juridisk grundlag for overførsler fra EU/EØS til tredjelande af persondata. Formålet med at anvende SCC som overførselsgrundlag er at sikre, at den person som persondata vedrører, sikres samme rettigheder over sine persondata, som hvis disse persondata alene blev behandlet i EU/EØS.

EU-Kommissionen har nu udstedt moderniserede SCC’er, som i større udstrækning end de hidtidige Standard Contractual Clauses kan medvirke til at sikre, at den pågældendes rettigheder fortsat kan håndhæves på samme niveau som forudsat i GDPR.

De nye SCC kan anvendes både ved overførsler mellem dataansvarlige, fra en dataansvarlig til en databehandler og – som noget nyt – for overførsler mellem en databehandler og en underdatabehandler udenfor EU. Sidstnævnte har været en stor mangel ved de nuværende SCC’er, og det vil betydeligt lette papirarbejdet, hvor en databehandler anvender underdatabehandlere uden for EU/EØS.

Disse moderniserede SCC’er erstatter de tre tidligere sæt af SCC’er, som blev vedtaget i henhold til det tidligere databeskyttelsesdirektiv 95/46/EF af 24. oktober 1995. Allerede indgåede SCC’er, som er baseret på den tidligere version, er fortsat gyldige i 18 måneder. Derefter skal der indgås nye aftaler baseret på de nye SCC’er.

De nye SCC’er indeholder blandt andet bestemmelser om SCC’ernes forrang samt overførselsaktørernes forpligtelser ved alle overførelsesscenarier fra en dataeksportør inden for et EU/EØS-land til en dataeksportør uden for et EU/EØS-land. De nye SCC’er tydeliggør således et ønske om, at EU i højere grad vil gøre alvor af at sikre beskyttelse af EU-borgeres persondata, der i øvrigt er gennemført gennem GDPR.

Følgende er typiske eksempler på situationer, hvor de nye SCC’er finder anvendelse:

  1. Overførsel af persondata fra en dataansvarlig i et EU/EØS-land til en dataansvarlig i et tredjeland
  2. Databehandling for en dataansvarlig i et EU/EØS-land til en databehandler i et tredjeland
  3. Databehandling for en databehandler i et EU/EØS-land til en underdatabehandler i et tredjeland

Det er vigtigt at være være særligt opmærksom ved brug af cloud leverandører eller IT-support ydet udenfor EU/EØS, da sådanne situationer også vil skulle reguleres af SCC, såfremt der gives da facto eller mulig adgang til persondata.

Hvis du har spørgsmål til de nye Standard Contractual Clauses eller spørgsmål til, hvad de kommer til at betyde for din virksomhed, så kontakt associeret partner, advokat Torsten Hylleberg på 33 300 252 eller thy@les.dk.

Kontakt
Torsten Hylleberg
partner
advokat

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR
Nyhed

Nye regler om whistleblowerordning sendt i høring

Lovforslaget om beskyttelse af whistleblowere er sendt i høring. Lovforslaget indebærer blandt andet, at alle danske virksomheder med 50 eller flere medarbejdere bliver forpligtet til at etablere en intern whistleblowerordning. Whistleblowerordningen skal leve op til en række krav og procedurer. Virksomheder med eksisterende whistleblowerordninger skal derfor også vurdere, om deres nuværende ordning lever op til de nye krav.
GDPR