För att personuppgifter ska få överföras till länder utanför EU eller EES krävs att en grund för överföringen enligt GDPR är tillämpbar. Enligt GDPR kan personuppgifter överföras utanför EU och EES med stöd av standardavtalsklausuler (standard contractual clauses, SCC) som har godkänts av EU-kommissionen. För att standardavtalsklausulerna ska kunna utgöra en grund för överföring krävs att båda parter åtar sig att iaktta standardiserade dataskyddsbestämmelser i avtalsarrangemanget.
Vad innebär standardavtalsklausulerna?
Uppgiftsutföraren och mottagaren ingår avtal som innehåller ett antal standardiserade klausuler som EU-kommissionen har godkänt och som anger rättigheter och skyldigheter för parterna med avseende på personuppgifterna. Standardavtalsklausuler fastställer alltså vilka skyldigheter (respektive rättigheter) såväl uppgiftsutföraren som uppgiftsinföraren har för att skydda personuppgifter.
När kan standardavtalsklausuler användas?
- Standardavtalsklausuler kan tillämpas vid överföring
- mellan två personuppgiftsansvariga
- mellan en personuppgiftsansvarig och ett personuppgiftsbiträde
- mellan ett personuppgiftsbiträde och en personuppgiftsansvarig
- mellan två personuppgiftsbiträde.
Hur används standardavtalsklausuler?
Så länge standardavtalsklausulernas innehåll inte har ändras förutsätter användning av klausulerna som överföringsgrund inte ett separat tillstånd från dataskyddsmyndigheten. Det är dock viktigt att komma ihåg att man vid användning av standardavtalsklausuler ska kontrollera från fall till fall om de tillförsäkrar en skyddsnivå som är likvärdig med den som garanteras inom EU samt bedöma behovet av kompletterande skyddsåtgärder.
Nya standardavtalsklausuler antogs av EU-kommissionen i juni 2021. Dessa ersätter de gamla dataskyddsbestämmelserna för internationella dataöverföringar. Standardavtalsklausulerna uppdaterades så att de motsvarar kraven i den allmänna dataskyddsförordningen och EU-domstolens sk Schrems II-avgörande.
Parter ska garantera att de inte har anledning att tro att någon lag, praxis eller andra bindande krav i mottagarlandet tillämplig på personuppgiftsbehandlingen, innebär ett hinder för importören av personuppgifter att uppfylla sina skyldigheter enligt standardklausulerna. Detta är något som kan vara problematiskt i flertalet länder. Därmed måste parterna utvärdera och dokumentera detsamma mottagarlandets nationella rätt och göra en konsekvensbedömning av överföringen av personuppgifter innan överföringen påbörjas.
Lag24 Trainee
26.08.2021
Få snabbt och enkelt hjälp med din juridiska fråga.