Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
Nyhed
GDPR

Efter Schrems II-dommen har SCC’er i stigende omfang været anvendt som juridisk grundlag for overførsler fra EU/EØS til tredjelande af persondata. Formålet med at anvende SCC som overførselsgrundlag er at sikre, at den person som persondata vedrører, sikres samme rettigheder over sine persondata, som hvis disse persondata alene blev behandlet i EU/EØS.

EU-Kommissionen har nu udstedt moderniserede SCC’er, som i større udstrækning end de hidtidige Standard Contractual Clauses kan medvirke til at sikre, at den pågældendes rettigheder fortsat kan håndhæves på samme niveau som forudsat i GDPR.

De nye SCC kan anvendes både ved overførsler mellem dataansvarlige, fra en dataansvarlig til en databehandler og – som noget nyt – for overførsler mellem en databehandler og en underdatabehandler udenfor EU. Sidstnævnte har været en stor mangel ved de nuværende SCC’er, og det vil betydeligt lette papirarbejdet, hvor en databehandler anvender underdatabehandlere uden for EU/EØS.

Disse moderniserede SCC’er erstatter de tre tidligere sæt af SCC’er, som blev vedtaget i henhold til det tidligere databeskyttelsesdirektiv 95/46/EF af 24. oktober 1995. Allerede indgåede SCC’er, som er baseret på den tidligere version, er fortsat gyldige i 18 måneder. Derefter skal der indgås nye aftaler baseret på de nye SCC’er.

De nye SCC’er indeholder blandt andet bestemmelser om SCC’ernes forrang samt overførselsaktørernes forpligtelser ved alle overførelsesscenarier fra en dataeksportør inden for et EU/EØS-land til en dataeksportør uden for et EU/EØS-land. De nye SCC’er tydeliggør således et ønske om, at EU i højere grad vil gøre alvor af at sikre beskyttelse af EU-borgeres persondata, der i øvrigt er gennemført gennem GDPR.

Følgende er typiske eksempler på situationer, hvor de nye SCC’er finder anvendelse:

  1. Overførsel af persondata fra en dataansvarlig i et EU/EØS-land til en dataansvarlig i et tredjeland
  2. Databehandling for en dataansvarlig i et EU/EØS-land til en databehandler i et tredjeland
  3. Databehandling for en databehandler i et EU/EØS-land til en underdatabehandler i et tredjeland

Det er vigtigt at være være særligt opmærksom ved brug af cloud leverandører eller IT-support ydet udenfor EU/EØS, da sådanne situationer også vil skulle reguleres af SCC, såfremt der gives da facto eller mulig adgang til persondata.

Hvis du har spørgsmål til de nye Standard Contractual Clauses eller spørgsmål til, hvad de kommer til at betyde for din virksomhed, så kontakt associeret partner, advokat Torsten Hylleberg på 33 300 252 eller thy@les.dk.