Utveksler din virksomhet personopplysninger med en databehandler? I så fall skal du merke deg hva vi skriver her.

Nesten alle virksomheter benytter databehandlere for ulike formål. Alle som bruker databehandlere, skal signere en databehandleravtale. Om virksomhetene i tillegg overfører personopplysninger til databehandlere utenfor EU, trengs et lovlig grunnlag for dette.

Det å finne et slikt lovlig grunnlag har vist seg å være komplisert for de fleste virksomheter, og etter at Schrems II dommen ble avsagt 16. juli fjor har forvirringen vært komplett. Nå har EU-kommisjonen publisert verktøy som skal gjøre situasjonen enklere og mer forutsigbar for virksomhetene. Pass på at frist for bruken av disse verktøyene er satt til mandag 27. september 2021!

Hva har skjedd?
Nå skal det bli enklere å utforme databehandleravtaler, og ikke minst å utforme lovlig grunnlag for overføring ut av EU. Den 4. juni i år publiserte EU-kommisjonen to nye sett av standardavtaler, én standard for databehandleravtale for overføringer av personopplysninger som skjer innenfor EU, og én standardkontrakt for overføring av personopplysninger til tredjeland (ut av Europa) – Standard Contractual Clauses (SCC) .

De nye standardene inkluderer nye krav i henhold til GDPR og tar hensyn til Schrems II-dommen, noe som skal sikre et høyt nivå av databeskyttelse for europeiske borgere.  Målet med å utvikle standardene har vært å sikre mer forutsigbarhet for virksomheter, og å hjelpe disse med å være sikre på at de etterlever kravene for overføring av personopplysninger, både innenfor EU og for overføringer ut av EU. Standardene er ment å være brukervennlige – et verktøy for lettvint og sikker etterlevelse.

Overgangsperioder
Databehandleravtalen kan benyttes fritt, og det er opp til virksomhetene om de ønsker å ta i bruk standarden fra EU-kommisjonen. Det er således ingen frist eller overgangsperioder forbundet med bruken av disse.

Når det gjelder SCC, er det vedtatt to overgangsperioder:

  • Fra 27. september skal du benytte den nye SCC for nye avtaler og endrede overføringer av personopplysninger til tredjeland
  • Fra 27. desember 2022: Allerede inngåtte avtaler på gamle SCCer (som er inngått før 27. september 2021), gjelder ikke lenger, og nye vilkår må benyttes

Husk at tilleggstiltak må vurderes allerede nå, ihht. kravene fra Schrems II-dommen og påfølgende veiledning.

I praksis betyr fristene at de fleste organisasjoner med litt dynamiske behandlingsbehov må inn på nye vilkår nå, i det minste legge til rette for slik overgang.

Mal for databehandleravtale
Dette er den første forhåndsgodkjente databehandleravtalen fra EU-kommisjonen, og gjelder mellom behandlingsansvarlig og databehandler for overføringer som skjer innenfor Europa. GDPR inneholder klare regler om hva en slik databehandleravtale skal inneholde, og utover det står virksomheter stort sett fritt til å utforme avtalene slik de vil. Det er intet krav om å bruke denne databehandleravtalen, det vil si at partene kan gjøre endringer til malen som de ønsker, men dersom man gjør endringer bør man være oppmerksom på at det kan gjøre at avtalen ikke lenger er i tråd med kravene i GDPR.

Avtalen er foreløpig tilgjengelig på engelsk, tysk og fransk, og Datatilsynet forventer at den blir oversatt til norsk om ikke så altfor lenge.

Standard contractual clauses 2021
I motsetning til malen for databehandleravtale, er det ikke lovlig å gjøre endringer til mal for overføringer av personopplysninger til tredjeland, de såkalte Standard Contractual Clauses (SCC). Det er et krav at de nye standardene blir brukt som de er.

Virksomheter har i en årrekke basert overføringer på den eldre versjonen av SCC, som er basert på det nå opphevede personverndirektivet fra 1995. Den eldre versjonen av SCC har inntil nå fungert som lovlig overføringsgrunnlag, men vil etter de nevnte frister ikke lenger kunne benyttes.

Etter dette vil virksomhetene ikke lenger ha et lovlig grunnlag for overføringer, og må enten inngå en ny SCC, eller benytte et annet overføringsgrunnlag.

Nye og mer fleksible SCCer med strengere krav til sikkerhetsgarantier
Grunnregelen i GDPR er at det ikke er lovlig å overføre personopplysninger ut av EU. GDPR gjelder for EU, men har på mange forskjellige måter et såkalt ekstra-territorialt nedslagsfelt – reglene gjelder også i stor grad utenfor EU’s grenser og særlig når det gjelder å opprettholde EU-borgeres rettsvern i tredjeland. Virksomheter som ønsker å overføre personopplysninger til tredjeland, må sørge for å ha på plass et lovlig grunnlag for slik overføring.

Lovlige grunnlag som oftest benyttes, er blant annet

  1. såkalte bindende virksomhetsregler (Binding Corporate Rules – BCR), eller
  2. vedtak om tilstrekkelig beskyttelsesnivå, og
  3. Standard Contractual Clauses (SCC)

Den eldre SCCen, som har vært oppdatert en rekke ganger, ble videreført som lovlig overføringsgrunnlag også under GDPR (2018). Den forrige versjonen fantes kun for to tilfeller, mellom behandlingsansvarlige innenfor og utenfor EU, og mellom behandlingsansvarlige innenfor EU og databehandlere utenfor EU.

Den oppdaterte SCC er mer fleksible ved at den er modulbasert, og omfatter flere og følgende tilfeller:

  1. Overføring fra en behandlingsansvarlig i EU til en behandlingsansvarlig i tredjeland
  2. Overføring fra en behandlingsansvarlig i EU til en databehandler i tredjeland
  3. Overføring fra en databehandler i EU til en databehandler i tredjeland
  4. Overføring fra en databehandler i EU til en behandlingsansvarlige i tredjeland

De to siste modulene eksisterte ikke tidligere, og er kommet som følge av virksomhetenes økende og svært omfattende bruk av tjenester via internett – og ikke minst en økende tendens til at databehandler overfører til underleverandør plassert i tredjeland.

Etter at Schrems II dommen ble avsagt i fjor sommer, ble det ytterligere klart at en oppdatering av SCCene var på sin plass, ikke bare på grunn av manglende fleksibilitet og nye tjenester, men også fordi virksomhetene må være bevisst på beskyttelsesnivået i det tredjelandet overføringen gjøres til, og slik sette krav til mottaker.

SCCen er delt inn ulike seksjoner, med bilag som kan tilpasses til den enkelte situasjon. For å nevne noe, innehar SCCene:

  • økt fokus på tekniske beskyttelsestiltak
  • plikt til å undersøke rettstilstanden i tredjelandet (importørlandet for dataene)
  • varsling ved myndighetsforespørsler om tilgang til persondataene
  • sikring av datasubjekters håndhevelse av sine rettigheter i tredjelandet (selv om de ikke er part i avtalen)

Virksomhetene kan merke seg at SCCene inneholder samtlige krav som fremgår av GDPR artikkel 28, slik at en virksomhet som benytter SCC som overføringsgrunnlag ikke behøver å inngå en databehandleravtale i tillegg (slik som før).

Hva må du gjøre?
Dersom du inngår en ny tjenesteavtale som innebærer overføringer av personopplysninger til tredjeland, skal du kun bruke den nyeste versjonen av SCC fra og med mandag den 27. september 2021.

Alle virksomheter bør starte arbeidet med å oppdatere de eksisterende avtalene sine med de nye SCCene fortløpende, og senest innen 27. desember 2022.

Husk at en overføring av personopplysninger til tredjeland er ulovlig uten lovlig grunnlag – og dette vil representere et brudd på GDPR som kan få meget store konsekvenser.

Arbeidet med å oppdatere til nye SCCer kan være komplekst og omfattende, og en plan for dette kan være på sin plass. Ta kontakt med oss dersom din virksomhet behøver hjelp til dette.

Artikkelen er skrevet av advokat  Kristin Haram Førde

 

SE FLERE ARTIKLER