Den 4 juni lanserade så till sist den Europeiska Kommissionen de nya ”standardklausulerna” (SCC) för överföring av personuppgifter utanför EU/EES. De nya standardklausulerna som har upprättats i syfte att ta höjd för Dataskyddsförordningen (GDPR) samt EDPBs rekommendationer avseende överföring av personuppgifter till tredje land med anledning av Schrems II, kommer helt att ersätta de tidigare standardklausulerna.
De gamla standardklausulerna kommer att gälla under en övergångsperiod om tre månader från och med den 27 juni enligt den av Europeiska Kommissionen officiella publiceringen av klausulerna. Därefter ersätter de nya standardklausulerna de gamla, vilket innebär att inga nya avtal ska ingås med de gamla standardklausulerna som en överföringsmekanism för överföring av personuppgifter utanför EU/EES. Parter som vid tiden för de nya standardklausulernas införande redan använder sig av de gamla standardklausulerna som en överföringsmekanism kommer emellertid att ha ytterligare 15 månader (dvs totalt 18 månader från publicering) på sig att uppdatera sina avtal med de nya klausulerna (du hittar de nya SCC här).
Nedan följer några viktiga nyheter i de nya standardklausulerna som vi på IT-advokaterna anser värda att notera.
Val av modul
Upplägget för de nya standardklausulerna är modulbaserad med en generell del tillämplig på samtliga partsförhållanden samt olika moduler som ska användas beroende av vilka roller parterna har. En efterlängtad nyhet är bland annat klausuler tillämpliga på relationen processor – processor, vilka inkorporerar GDPRs villkor i artikel 28. Detsamma gäller modulen för controller- processor, något som innebär att det inte längre är nödvändigt för parterna i dessa moduler att ingå ett personuppgiftsbiträdesavtal utöver standardklausulerna.
En annan nyhet är modulen processor-controller, det vill säga fall där en processor överför personuppgifter till en controller utanför EU. Detta kan tyckas något överraskande, där controllern inte omfattas av GDPR. Vilka konsekvenser detta får återstår att se.
Schrems II
De nya standardklausulerna innehåller ett stort antal villkor som avser att ta höjd för Schrems II och EDPBs vägledning. Bl.a. ska bägge parter garantera att de inte har anledning att tro att någon lag, praxis eller andra bindande krav i mottagarlandet tillämplig på personuppgiftsbehandlingen, innebär ett hinder för importören av personuppgifter att uppfylla sina skyldigheter enligt standardklausulerna, något som kommer vara problematiskt i flertalet länder. Parterna måste således utvärdera (och dokumentera detsamma) mottagarlandets nationella rätt och göra en konsekvensbedömning av överföringen av personuppgifter innan överföringen påbörjas. Vidare är importören skyldig att meddela exportören om något skulle föranleda en ändring av parternas konklusion av en sådan utvärdering. Oaktat de nya villkoren är det, sett utifrån Schrems II, högst osannolikt att standardklausulerna ensamt kommer att vara tillräckliga för att en överföring av personuppgifter utanför EU/EES ska vara tillåten i ett stort antal scenarier. Implementering av ytterligare åtgärder kommer i de allra flesta fall således fortsatt att vara nödvändiga.
Flexibilitet
Standardklausulerna är mer flexibla på så sätt att parterna kan lägga till ytterligare klausuler eller skyddsåtgärder så länge dessa inte strider mot standardklausulerna eller inskränker enskildas grundläggande rättigheter och friheter. De innehåller också så kallade ”docking clauses” vilka innebär att fler parter kan komma ingå dem eller ansluta sig till dem efter att de har ingåtts.
Hierarki och ansvar
De nya standardklausulerna innehåller strikta hierarki- och ansvarsklausuler vilket innebär att det kommer att vara svårt för importören av personuppgifter att framöver begränsa sitt ansvar.
Vad gör du som organisation nu?
- Kartlägg vilka avtal som innefattar överföring personuppgifter utanför EU/EES och för vilka ni ska ingå de nya standardklausulerna. Gör en tidplan.
- Förbered standardklausulerna baserat på de moduler som krävs i de specifika förhållandena.
- Upprätta en policy/mall för utvärdering och konsekvensbedömning av personuppgiftsöverföringar utanför EU/EES.
- Utvärdera befintliga överföringar av personuppgifter till utanför EU/EES och om ytterligare åtgärder behövs.
- Dokumentera och inför kontinuerliga rutiner för att utvärdera alla åtgärder som vidtas.
- Använd de nya standardklausulerna (när tillämpligt) på nya avtal.
Vill du veta mer om innehållet i de nya standardklausulerna, nödvändiga åtgärder eller GDPR i övrigt, kontakta en IT-advokat.