EU-Kommissionen vedtog den 4. juni 2021 endelig et nyt og moderniseret sæt af standardbestemmelser. Sættet indeholder en standard databehandleraftale (DPA) og standardkontraktbestemmelser for overførsel af persondata (SCCs).

‍

De nye SCCs inkorporerer en række forskellige nye bestemmelser, der afspejler gældende regler og ny praksis, med det formål at styrke beskyttelsen af persondata, der overføres til usikre tredjelande.  

‍

Dette sker i lyset af den efterhånden meget velkendte Schrems-II sag, hvor EU-Domstolen invaliderede den hidtil gældende ordning for overførsel af persondata mellem EU og USA, Privacy-Shield. EU-Domstolen understregede desuden, at overførsler til tredjelande baseret på SCCs, kræver at der sikres tilstrækkelig beskyttelse af persondata, hvilket ofte vil kræve implementering af supplerende sikkerhedsforanstaltninger.  

Dommen har dannet grundlag for en hel del problemstillinger hos virksomheder og myndigheder, navnlig i relation til brugen af leverandører, der indebærer overførsler af persondata til USA eller lignende tredjelande. Disse problemstillinger bliver i en vis udstrækning adresseret i de nye SCCs.  

‍

De nye SCCs indeholder blandt andet følgende væsentlige tiltag:

1. De generelle bestemmelser suppleres med en række særskilte bestemmelser, der gør det muligt at skræddersy SCCs til den specifikke aktuelle overførselssituation. Dette gør det muligt at anvende SCCs i fire forskellige situationer (dataansvarlig til dataansvarlig, dataansvarlig til databehandler, databehandler til databehandler, databehandler til dataansvarlig).
   

2. Det er muligt at tilføje flere dataansvarlige og databehandlere til SCCs, både forud for og efter indgåelsen af SCCs. På den måde kan eksempelvis flere led i en leverandørkæde omfattes af de samme SCCs.  

3. De nye SCCs indfører en garanti mellem dataeksportøren og dataimportøren om, at der ikke er nogen grund til antage, at dataimportøren i det pågældende tredjeland er forhindret i at opfylde sine forpligtelser i SCCs.  

4. Der indføres en sektion omkring lokale lovgivningers indflydelse på efterlevelsen af SCCs og dataimportørens forpligtelser i tilfælde af offentlige myndigheders adgang til persondata.  

5. De nye SCCs indeholder et bilag til brug for angivelse af tekniske og organisatoriske sikkerhedsforanstaltninger. I dette bilag er angivet en række eksempler på, hvilke sikkerhedsforanstaltninger parterne kan implementere for at sikre en tilstrækkelig beskyttelse af persondata.  

Virksomheder og myndigheder gives 18 måneder fra vedtagelsesdatoen til at udfase de hidtidige SCCs og erstatte med nye SCCs eller et andet overførselsgrund i de relevante forhold. Derudover er det væsentligt at bemærke, at dataeksportøren stadig skal foretage en individuel vurdering af, om og hvilke supplerende foranstaltninger er nødvendige i den specifikke overførselssituation.

‍

Kontakt Niels Dahl-Nielsen eller Line Forsberg Andersen, hvis du har spørgsmål til den nye bestemmelser:

‍

Niels Dahl-Nielsen
Mobil: +45 4030 9749
Mail: ndn@coplay.law

‍

Line Forsberg Andersen

Mobil: +45 2619 4966

Mail: lfp@coplay.law