Uke 23: #VissteDuAt - Ny standardavtale for overføring av personopplysninger utenfor EU/EØS
Skrevet av: Advokat/partner Marianne Aanes Stenstvedt og advokatfullmektig Lisa Urke Hennum

Den 4. juni publiserte EU-kommisjonen den etterlengtede nye standardavtalen for overføring av personopplysninger til land utenfor EU/EØS (såkalte tredjeland). Etter en tid med mye usikkerhet knyttet til dette etter at Schrems II-dommen satte Privacy Shield-avtalen til side, er det nå klarere hvordan personopplysninger kan overføres til tredjeland på lovlig måte. Dette gjelder særlig til land som har vidtgående innsyns- og overvåkningslover for offentlige myndigheter, som for eksempel USA.

 

Overføringsgrunnlag og Schrems II

Utgangspunktet etter personvernforordningen (GDPR) er at overføring av personopplysninger til tredjeland kun er tiltatt dersom nivået for personopplysningsvern etter forordningen opprettholdes. Vilkårene som stilles, og hvilke overføringsgrunnlag man kan benytte, fremgår av GDPR kap. V. Et mye brukt overføringsgrunnlag er EU-kommisjonens standardavtale for overføring (Standard Corporate Clauses – «SCC»).
 

Etter at Schrems II-dommen kom, ble det klart at den gamle standardavtalen ikke er tilstrekkelig i seg selv. Dommen, sammen med Personvernrådets (EDPB) veiledere som kom i kjølvannet av avgjørelsen, sa at personvernet i mottakerlandet måtte vurderes konkret, og at man eventuelt måtte iverksette ekstra tiltak som kunne gi tilsvarende vern som i EØS.

 

Ny standardavtale for overføring

De nye standardklausulene har lagt opp til flere ulike partskonstellasjoner, slik at den kan brukes både dersom henholdsvis dataimportør og dataeksportør er behandlingsansvarlig eller databehandler.


Standardklausulene oppfyller innholdskravene i GDPR art. 28 og kan benyttes istedenfor en ordinær databehandleravtale ved overføring fra behandlingsansvarlig til databehandler. Det kan likevel være behov for en supplerende og mer utfyllende databehandleravtale i det konkrete tilfellet. I så fall bør man være obs på forrangsbestemmelsen i standardklausulene.


Dette er noen av de viktigste endringene:

  • Ny inntredelsesklausul som gir tredjeparter mulighet tilå tre inn i avtalen. Inntredelsesklausulen kan være praktisk f.eks. ved endring i konsernforhold.
     
  • Nytt kapittel om innsynsforespørsler. Partene må gi en garanti for at de ikke har noen grunn til å tro at lovgivningen i mottakerlandet er til hinder for at parten kan overholde sine forpliktelser etter standardavtalen. Dette gjelder særlig lovgivning som inneholder krav til utlevering av personopplysninger til offentlige myndigheter, som nevnt innledningsvis. Det skal gjøres en vurdering etter nærmere angitte hensyn, blant annet de spesifikke omstendighetene rundt den konkrete overføringen.
     
  • Bestemmelser om håndtering av anmodning om innsyn fra offentlige myndigheter;
    • orienteringsplikt overfor dataeksportør
    • dokumentasjonsplikt (anmodningen fra myndigheten, eventuelt svaret som er gitt)
    • plikt til å bestride anmodningen
    • plikt til å undersøke muligheter for anke
       
  • Ansvarsregulering som langt på vei er sammenfallende med GDPR art. 82. Disse bestemmelsene har forrang ved motstrid med annen ansvarsregulering mellom partene (f.eks. andre avtaleregulerte ansvarsbegrensninger).
     
  • Mer detaljert beskrivelse av overføringen, som detaljer om formål og lagringstid. Sikkerhetstiltak skal beskrives i et eget vedlegg.


Hva betyr dette for din virksomhet?

Etter at Schrems II-dommen kom, er det mange virksomheter som har gjort den viktige gjennomgangen av om – og i hvilken grad – deres virksomhet overfører personopplysninger til tredjeland, til hvilke land det overføres personopplysninger og hvilket overføringsgrunnlag som benyttes. Dersom virksomheten ikke allerede har gjort dette, anbefaler vi at dette gjøres nå.


Dersom din virksomhet benytter den gamle standardavtalen, må denne endres til den nye standardavtalen, alternativt finne et annet overføringsgrunnlag, innen overgangsperioden på 18 måneder.


Gå gjennom eksisterende avtaleverk, og undersøk om det kan foreligge motstrid med standardavtalen. Foreta eventuelle nødvendige endringer og oppdateringer.


Ta gjerne i bruk den nye standardavtalen ved inngåelse av nye avtaler som omfatter overføring av personopplysninger til tredjeland. Standardavtalen vil først begynne å gjelde 27. juni 2021 i EU, og først når den inntas i EØS-avtalen i Norge på et foreløpig uvisst tidspunkt. Datatilsynet har imidlertid uttalt at de vil akseptere at norske virksomheter begynner å bruke denne allerede nå.


Kommisjonen har samtidig vedtatt en ny standard-databehandleravtale som virksomheten kan benytte for overføring innad i EØS.


Begge standardavtalene er tilgjengelige her: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en
Foreløpig finnes de kun på engelsk, tysk og fransk, men det antas at de vil oversettes til norsk når de inntas i EØS-avtalen.

 

Vil du motta nyheter og invitasjoner fra oss? Meld deg på vårt nyhetsbrev her.

Kontaktperson