Nya standardavtalsklausuler - vad är nytt och vad måste ni göra?

Effekten av Schrems 2 börjar visa sig

Sedan sommaren 2020 har ämnet tredjelandsöverföring blivit högst aktuellt, främst på grund av den så kallade Schrems II-domen. För att möjliggöra överföring till tredjeland, och inte minst nyttjande av tjänster från leverantörer som exempelvis Microsoft (vars huvudsäte är utanför EU), krävs att vissa åtgärder är uppfyllda, vilka anges i GDPR:s kapitel V.  En av dessa åtgärder är att komplettera aktuellt tjänsteavtal med EU:s standardavtalsklausuler, vilket innehåller hårda krav mot så kallade dataexportörer (med andra ord tjänsteleverantörer med huvudsäte utanför EU).

Varför nu?

Den främsta orsaken till ”uppdateringen” var att de tidigare gällande standardavtalsklausulerna var formulerade utifrån det föråldrade dataskyddsdirektivet från 1995 (som låg till grund för den nu ogiltiga Personuppgiftslagen), och hade inte uppdaterats när GDPR trädde i kraft maj 2018. En ytterligare orsak var att yrkesverksamma inom dataskyddsområdet har länge efterfrågat nya SCCs, eftersom den gamla versionen inte ansågs fullkomligt tillämpliga vid komplexa behandlingsaktiviteter innefattande flera parter (som idag är mer vanligt förekommande).

Vad är skillnaden och tilläggen?

• Innehåller alla bestämmelser som måste finnas i personuppgiftsbiträdesavtal (enligt GDPR:s artikel 28.3).
• Flera parter kan ansluta sig till aktuellt avtal (dockningsklausul).
• Ömsesidig garanti för att destinationslandet ger en adekvat skyddsnivå (vid genomförande av en så kallad Transfer Impact Assessment).
• Data-importörer är förpliktade att meddela data-exportörer och registrerade om brottsbekämpande myndighet begär insyn i personuppgifter (förutsatt det är möjligt).
• Tredje parts rättigheter – för dataexportören (att genomdriva direkt mot underbiträde) samt för den enskilda registrerade (som kan genomdriva den mot dataexportören, dataimportören eller underbiträdet, som de vill).
• Klausulerna är tillämpliga för ytterligare behandling-aktiviteter och överföringar (exempelvis; PUB till PUB, PUB till PUA, utöver PUB till PUA & PUA till PUB), med hjälp av ett så kallat modulärt tillvägagångssätt.
• Data-importören är fullt ansvarig för att se till att dess underbiträden fullgör sina skyldigheter i enlighet med GDPR.

Viktigast av allt är att ändringar i standardklausulerna inte är tillåtet.  Organisationer kan dock lägga till tredjepartsklausuler, ytterligare skydd eller affärsrelaterade klausuler. Organisationer kan också förhandla om gällande lagstiftning (se till att den inkluderar tredje parts förmånsrättigheter) och underbiträden godkännande.

När måste de vara implementerade?

• Från den 27 september 2021 måste organisationer använda de nya standardavtalsklausulerna när nya avtal ingås med tillämpliga kunder såväl som leverantörer.
• Organisationer har 15 månader (fram till den 27 december 2022) att omförhandla nuvarande avtal – där de gamla standardavtalsklausulerna nyttjats, till de nya standardavtalsklausulerna.