Nye standard kontraktsbestemmelser ("SCC") for internasjonale dataoverføringer
Alle virksomheter som overfører personopplysninger ut av EU/EØS må ha et overføringsgrunnlag, slik som Standard Contractual Clauses («SSC»). EU-kommisjonen har nå vedtatt nye SCCer. Virksomheter gis en 18 måneders frist for å erstatte inngåtte SCCer med de nye kontraktsbestemmelsene.
EU-kommisjonen har arbeidet med å oppdatere og modernisere eksisterende SCC, for å gjøre det enklere for å virksomheter (dataeksportører) å overføre personopplysninger ut av EU/EØS og samtidig ivareta kravene etter både personvernforordningen og Schrems II-dommen. De endelige «Standard Contractual Clauses for International Transfers», ble publisert av EU-kommisjonen 4. juni 2021.
Hva er de viktigste endringene?
Videre omfang
De gamle SCCene omfattet kun to scenarioer;
· overføring fra en behandlingsansvarlig til en databehandler, og
· overføring fra en databehandler til en annen databehandler.
I de nye SCCene, er ytterligere to nye konstellasjoner inntatt;
· overføring fra en databehandler til en behandlingsansvarlig, og
· overføring fra en behandlingsansvarlig til en annen behandlingsansvarlig.
Modulbasert system og en mer fleksibel tilnærming
Kontrakten inneholder et modulbasert system med hhv. fire moduler, hvor partene kan velge moduler og dermed skreddersy forpliktelsene etter eget behov. Systemet er valgt for å imøtekomme ulike scenarioer og kompleksiteten av dagens kjeder av behandlingsaktiviteter, og rekker av dataimportører og dataeksportører.
Det er valgt en mer fleksibel tilnærming, eksempelvis med antall parter som kan være inkludert i kontrakten, for å møte endrede behov. Ytterligere behandlingsansvarlige og databehandlere, skal kunne tiltre SCCene som dataeksportører og dataimportører utover i livsløpet av kontrakten.
SCCene er begrenset til å sikre passende tiltak for databeskyttelse for internasjonale dataoverføringer. Dataeksportører og dataimportører står fritt til å inkludere SCC i en kontrakt med andre klausuler eller ytterligere tiltak, eksempelvis en mer omfattende databehandleravtale, forutsatt at det ikke oppstår motstrid med klausulene i SCCene.
Oversikt over konkrete organisatoriske og tekniske tiltak
Frem til «Schrems II» avgjørelsen kom juli 2020, har SCCene vært benyttet som grunnlag for overføring av personopplysninger til land utenfor EU/EØS. Etter Schrems II, innebærer imidlertid bruk av SCC at virksomheter må gjennomføre en vurdering av beskyttelsesnivået i det landet personopplysningene overføres til. Dersom beskyttelsesnivået ikke er tilstrekkelig, slik som i USA, må supplerende tiltak iverksettes.
Med de nye SCCene, vil partene kunne få en oversikt over de forskjellige organisatoriske og/eller tekniske tiltakene som er iverksatt, for å sikre et tilstrekkelig beskyttelsesnivå. Denne oversikten vil være til hjelp ved evalueringen av beskyttelsesnivået som er påkrevd etter Schrems II. Det gis også eksempler på konkrete tiltak, slik som kryptering, systemoppdateringer og brukeridentifisering.
Garantier og konsekvensutredninger relatert til nasjonale lover
De nye SCCene introduserer et krav til en egen konsekvensutredning av omstendighetene rundt overføringen, slik som lengden av behandlingskjeder, antall involverte aktører, nasjonale lover og relevante kontraktuelle, tekniske og organisatoriske tiltak.
Begge parter må garantere at de ikke er i tvil om at dataimportørens nasjonale standarder samsvarer med europeiske standarder, inkludert potensielle nasjonale krav om utlevering av personopplysninger til offentlige myndigheter. Dette kravet er et direkte resultat av Schrems II-dommen. Dette kravet vil sannsynligvis kunne by på utfordringer for virksomheter som overfører data til land som USA. Som fremhevet i Schrems II-dommen har myndighetene i USA lovhjemler som gjør at amerikanske borgere lokalisert utenfor USA, potensielt kan overvåkes.
Varslings- og dokumentasjonsforpliktelser
Mer detaljerte varslings- og dokumentasjonsforpliktelser er inntatt for å møte kravene etter GDPR og Schrems II, blant annet:
· Krav om at dataimportøren må tilgjengeliggjøre all informasjon som er nødvendig for å påvise samsvar med forpliktelser angitt i SCCene, og å tillate og bidra til revisjon av behandlingsaktivitetene.
· Krav om at dataimportøren varsler dataeksportøren dersom underdatabehandlere ikke er i stand til å overholde forpliktelsene etter kontrakten.
· Krav om varsling ved pålegg om å utgi personopplysninger til lokale myndigheter.
SCCene angir de rettighetene og forpliktelsene til behandlingsansvarlige og databehandlere som skal inngå i en databehandleravtale, iht. GDPR artikkel 28. Behandlingsansvarlige, databehandlere og deres underdatabehandlere trenger dermed ikke å inngå en separat databehandleravtale i tillegg til SCCene.
Videreoverføringer
Ved videreføringer av personopplysninger, stilles det i utgangspunktet krav til at forpliktelsene som pålegges dataimportører, også må pålegges mottakeren av personopplysningene, for å sikre tilsvarende beskyttelse. Unntaksvis skal videreoverføring bare finne sted dersom et av de andre vilkårene er oppfylt, eksempelvis overføring til godkjente tredjeland eller dersom mottakeren på annen måte sørger for passende garantier.
Ansvar for kontraktsbrudd
Det er inntatt nye bestemmelser om ansvar mellom partene, i tilfelle brudd på kontrakten og brudd på rettighetene til de registrerte. Ansvarsfordelingen avhenger av de ulike partsforholdene og tilhørende modulene.
Ved overføring mellom to behandlingsansvarlige og fra databehandler til behandlingsansvarlig, er hver part ansvarlig overfor den registrerte. Avhengig av hvilken part som er ansvarlig for skaden, har den andre parten rett til å kreve tilbake erstatningsbeløpet for skaden.
Ved overføring av personopplysninger fra behandlingsansvarlig til databehandler og mellom to databehandlere, er dataimportøren ansvarlig overfor den registrerte. Dataeksportøren kan også kreve tilbake erstatningsbeløpet fra dataimportøren, hvis dataeksportøren kan holdes ansvarlig for skader forårsaket av dataimportøren.
Her må partene passe på at eventuelle andre kommersielle reguleringer av ansvar, ikke strider mot klausulene i SCC.
Bruk av SCC og det å sikre lovlig overføring til land utenfor EU/EØS
Virksomheter som har inngått eller planlegger å inngå avtaler med parter utenfor EU/EØS, må sørge for at de nye SCCene implementeres eller alternativt ta i bruk et overføringsgrunnlag.
Detaljene for overføringen må gjennomgås, herunder hvilke kategorier av personopplysninger som overføres, formålet, arten og hyppigheten av overføringen. Det må også kartlegges hvilke organisatoriske og tekniske tiltak som er iverksatt. Deretter må det vurderes hvilke moduler som er passende for det konkrete tilfellet og gjennomgå de ulike kravene.
Selv om de nye SCCene implementerer enkelte av kravene etter Schrems II-dommen og bidrar til å kontraktsfeste spesifikke tiltak, løser ikke de moderniserte klausulene alle utfordringene relatert til overføring av personopplysninger utenfor EU/EØS. SCCene må også sees i sammenheng med veiledninger fra det europeiske Personvernrådet, for å vurdere lovligheten av overføringen.
Med oversikten over organisatoriske og tekniske tiltak i SCCene, vil det være enklere å vurdere beskyttelsesnivået i tråd med Schrems II kravene, og hvorvidt dataoverføringen kan fortsette eller iverksettes, eller om nye tiltak må implementeres. Les mer om denne vurderingen, i vår andre artikkel om veiledningen fra Personvernrådet om dataoverføringer.