Standard personvernbestemmelser som overføringsgrunnlag
Det vanligste overføringsgrunnlaget når personopplysninger skal overføres til tredjeland, er EU-kommisjonens standard personvernbestemmelser (Standard Contractual Clauses eller SCCs) 2021/914 (ec.europa.eu).
Nye standard personvernbestemmelser
Den 4. juni 2021 vedtok EU-kommisjonen nye og oppdaterte standard personvernbestemmelser etter personvernforordningen. Eldre standard personvernbestemmelser (Kommisjonens beslutninger 2001/497/EC og 2010/87/EU) var basert på det nå opphevede personverndirektivet 95/56/EC. Disse blir nå ugyldige å inngå.
Avtaler basert på eldre standard personvernbestemmelser undertegnet før 27. september 2021 forblir i utgangspunktet gyldige til 27.12.2022 (jf. EU-kommisjonens beslutning 2021/914 artikkel 4).
Virksomheter bør oppdatere til de nye standard personvernbestemmelsene fortløpende og senest før 27. desember 2022.
Ved signering av standard personvernbestemmelser forplikter dataimportøren seg til å behandle opplysningene i samsvar med de kravene som gjelder innenfor EØS-området. Samtidig må dataeksportøren som er etablert i EØS, sjekke at personopplysningene som blir overført, faktisk får tilstrekkelig beskyttelsesnivå på lik linje som i EØS før overføringen og at rettssystemet i mottakerlandet gjør det mulig å følge de standard personvernbestemmelsene i praksis. Vi utdyper dette nærmere i kapittelet om tillegskrav (Schrems II).
Plikten til å sikre at beskyttelsesnivået er tilstrekkelig, er nå bakt inn som et eget kontraktsvilkår i de nye standard personvernbestemmelsene. De standard personvernbestemmelsene forutsetter altså at alle nødvendige vurderinger er foretatt før signering.
Videre skal dataimportøren opplyse eksportøren så fort som mulig om eventuelle hindringer for å oppfylle kravene. Et eksempel på en slik hindring er nasjonal lovgivning i tredjeland som kan gi de offentlige myndighetene i landet tilgang til personopplysninger utover det som anses proporsjonalt og nødvendig i et demokratisk samfunn (jf. fortalepunkt 22 i EU-kommisjonens beslutning 2021/914). I så fall skal dataeksportøren ikke overføre personopplysningene i henhold til avtalen. Ved tvil kan det være hensiktsmessig at dataeksportøren konsulterer med Datatilsynet. Datatilsynet har rett til, og kan ha plikt til, å utsette eller forby overføring (jf. personvernforordningen artikkel 58 nr. 2 bokstav j og den såkalte Schems II-dommen fra EU-domstolen, CJEU-311/18).
Dersom man bruker personvernbestemmelsene uendret, trenger man hverken søke om forhåndsgodkjenning eller varsle Datatilsynet.
Det er lov å inkorporere standard personvernbestemmelsene i en større avtale. Videre er det lov, uten varsel til Datatilsynet, å tilføye klausuler, så lenge disse ikke motsier, direkte eller indirekte, de standard personvernbestemmelsene som er vedtatt av EU-kommisjonen. I de tilfellene der eksportøren har konkludert med at ytterligere tiltak anses nødvendige for å opprettholde personopplysningenes beskyttelse på lik linje som i EØS, må disse bli tilføyd de standard personvernbestemmelsene.
De nye standard personvernbestemmelsene er bygget opp av fire moduler som omfatter følgende tilfeller:
- overføring fra en behandlingsansvarlig etablert i EØS til en virksomhet i et tredjeland som selv opptrer som behandlingsansvarlig
- overføring fra en behandlingsansvarlig etablert i EØS til en virksomhet i et tredjeland som opptrer som databehandler
- overføring fra en databehandler etablert i EØS til en virksomhet i tredjeland som også er databehandler
- overføring fra en databehandler etablert i EØS til en virksomhet i et tredjeland som opptrer som behandlingsansvarlig
Standard personvernbestemmelser der databehandlere er dataeksportør, er en nyvinning som ikke fantes tidligere. Figuren nedenfor illustrerer de ulike modulene:
Husk: Ved overføring fra behandlingsansvarlig til databehandlere er det et krav om databehandleravtale (jf. personvernforordningen artikkel 28). De nyeste standard personvernbestemmelsene fra EU-kommisjonen oppfyller kravene i personvernforordningen artikkel 28. Med andre ord er det ikke nødvendig å inngå en egen databehandleravtale i tillegg.