Tredjelandsöverföring med standardavtalsklausuler
Enligt GDPR är det nödvändigt att säkerställa att den nivå av skydd som fysiska personer garanteras genom GDPR inte undergrävs när personuppgifter överförs till tredjeländer, inklusive vidare överföring från ett tredjeland till ett annat tredjeland.
Om det inte finns ett beslut om adekvat skyddsnivå för det landet får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder.
Vad är en lämplig skyddsåtgärd enligt GDPR?
En lämplig skyddsåtgärd är exempelvis standardiserade dataskyddsbestämmelser som antas av kommissionen, det framgår av artikel 46.2 c i GDPR. De standardavtalsklausuler som kommissionen har beslutat om utgör sådana bestämmelser. Om den personuppgiftsansvarige organisationen använder dessa behövs inget tillstånd från en tillsynsmyndighet.
Det finns standardavtalsklausuler som är anpassade för överföring i fyra olika situationer:
- från en personuppgiftsansvarig till en annan personuppgiftsansvarig
- från en personuppgiftsansvarig till ett personuppgiftsbiträde
- från ett personuppgiftsbiträde till ett annat personuppgiftsbiträde
- från ett personuppgiftsbiträde till en personuppgiftsansvarig
Parterna kan införa dessa standardavtalsklausuler i ett mer övergripande avtal eller teckna ett separat överföringsavtal med dessa klausuler som mall.
Det går också bra att lägga till andra bestämmelser eller ytterligare skyddsåtgärder. Men det måste göras under förutsättning att tilläggen inte står i strid med standardavtalsklausulerna eller påverkar de registrerades grundläggande rättigheter eller friheter.
Wordmallar som gör arbetet ännu enklare
Även om de nya klausulerna ska förenkla arbetet så upplever många att de är svåra att förstå, och att det kommer bli en utmaning att använda dem i praktiken. Därför har vi på Visma Draftit tagit fram Wordmallar som hjälper er att få bättre grepp om de olika standardavtalen. Mallarna finns tillgängliga på både svenska och engelska.
Video: Se hur Privacy Expert fungerar
Standardavtalen är ingen universallösning vid överföring till tredjeland
Observera att man fortfarande behöver göra en bedömning i det enskilda fallet för att avgöra om en tredjelandsöverföring är möjlig, och om standardavtalsklausulerna är tillräckliga. Klausulerna är ingen universallösning och innebär inte att man kan bortse ifrån exempelvis Schrems II-domen.
Istället måste parterna även fortsatt ta hänsyn till de särskilda omständigheterna kring överföringen och relevanta lagar och förfaranden i det mottagande tredjelandet.
Det kan fortfarande vara aktuellt att införa extra, kompletterande skyddsåtgärder för att komplettera de som ingår i standardavtalsklausulerna. Personuppgiftsansvariga och personuppgiftsbiträden uppmuntras att tillhandahålla ytterligare skyddsåtgärder genom avtalsenliga åtaganden som kompletterar standardavtalsklausulerna.
Äldre former av standardavtalsklausuler behöver ersättas
Det finns även äldre beslut från kommissionen som innehåller standardavtalsklausuler för överföring till tredjeland. Besluten 2001/497/EG (PuA till PuA) och 2010/87/EU (PuA till PuB) upphörde att gälla den 27 september 2021. Från och med då får ni inte längre stödja er på dessa avtalsmallar utan ska istället de som tagits fram efter.
Avtal som ingåtts med stöd av de äldre besluten ska dock anses garantera lämpliga skyddsåtgärder fram till den 27 december 2022 – under förutsättning att de behandlingar som är föremål för avtalet förblir oförändrade och att användningen av dessa klausuler säkerställer att överföringen av personuppgifter omfattas av lämpliga skyddsåtgärder.
Men alla befintliga avtal som stödjer sig på de äldre besluten behöver alltså göras om allra senast i december nästa år.
Med Schrems II-domen blev det tydligt att reglerna för överföring till tredjeland kräver åtgärder hos många verksamheter. Vi har samlat det viktigaste frågorna med svar från våra experter i ett faktablad.
