"Den nye standardavtalen, med modulbaserte tilnærming, skaper mye større fleksibilitet enn tidligere".

Ny standard dataoverføringsavtale og databehandleravtale fra EU-Kommisjonen

| Innsikt

EU-kommisjonens nye standardavtale for overføring av personopplysninger til tredjeland (SCC) er nå på plass og alle som baserer seg på SCC for dataoverføringer til tredjeland må over på denne innen 18 måneder. Det er videre viktig å sikre etterlevelse av EU-domstolens avgjørelse i Schrems II, noe den nye standardavtalen også legger til rette for.

EU-Kommisjonen har den 4. juni vedtatt ny standard dataoverføringsavtale (EU Standard Contractual Clauses – «SCC») som erstatter tidligere avtaler for overføring av personopplysninger til land utenfor EØS (tredjeland). I tillegg har Kommisjonen for første gang vedtatt en standard databehandleravtale som regulerer databehandlers behandling av personopplysninger på vegne av behandlingsansvarlig.

EUs standardavtaler for overføring er forhåndsgodkjente avtaler som gir rettslig grunnlag for overføring av personopplysninger uten nærmere godkjennelse fra datatilsynsmyndighetene.

Siden de tidligere overføringsavtalene var basert på det tidligere personverndirektivet, har et viktig siktemål vært å få på plass overføringsavtale basert på kravene etter EUs personvernforordning (GDPR). Et annet viktig poeng har vært å oppdatere overføringsavtalene for å tilrettelegge for etterlevelse av EU-domstolens avgjørelse i Schrems II den 16. juli 2020.

I motsetning til tidligere er det ikke lenger egne avtaler for overføring fra behandlingsansvarlig innenfor EØS til henholdsvis behandlingsansvarlig eller databehandler utenfor EØS. I stedet har man valgt en modulbasert tilnærming som i én og samme avtale dekker opp fire typetilfeller av overføring fra dataeksportør(er) innenfor EØS til dataimportør(er) utenfor EØS: behandlingsansvarlig – behandlingsansvarlig, behandlingsansvarlig – databehandler, databehandler – databehandler og databehandler – behandlingsansvarlig.

Den modulbaserte tilnærmingen skaper mye større fleksibilitet enn tidligere, særlig med tanke på at en databehandler i EØS, f.eks. en skytjenesteleverandør, nå kan etablere grunnlag for overføring til egne underleverandører utenfor EØS. For overføring mellom behandlingsansvarlig og databehandler inneholder den nye avtalen også fullverdige databehandlerbestemmelser, slik at det ikke lenger er nødvendig med egen databehandleravtale eller tilleggsbestemmelser som supplerer overføringsavtalen. Det er også en egen tilslutningsbestemmelse som gjør det enklere å legge til nye aktører til avtalen på et senere tidspunkt.

Det har vært knyttet stor spenning til hvordan den nye overføringsavtalen forholder seg til EU-domstolens Schrems II-avgjørelse hvor domstolen i lys av amerikansk av overvåkningslovgivning underkjente EU-US Privacy Shield og slo fast at de tidligere overføringsavtalene fremdeles kan benyttes som overføringsgrunnlag såfremt partene har vurdert behovet for tilleggstiltak for å verne mot tilgang fra tredjelands etterretning. Det er viktig å merke seg at den nye overføringsavtalen ikke i seg selv tilfredsstiller de skjerpede kravene som ble oppstilt i Schrems II-avgjørelsen. Men den nye avtalen støtter opp om de skrittene eksportører og importører av personopplysninger må gjøre for å etterleve overføringsreglene og Schrems II.

For lovlig å kunne overføre personopplysninger er det en forutsetning at partene ikke har noen grunn til å tro at lokale regler og praksis i tredjelandet, herunder etterretningslovgivning, hindrer etterlevelse av avtalen. Partene forplikter seg til å dokumentere sin Schrems II-vurdering og å gjøre denne tilgengelig for tilsynsmyndighetene på forespørsel. Avtalen regulerer også i større detalj enn tidligere hvordan importøren skal håndtere ev. innsynsforespørsler, herunder varsle eksportøren, vurdere lovligheten av og ev. utfordre pålegg samt å utlevere så lite informasjon som mulig.

Som tidligere er det viktig at avtalen fylles ut basert på den konkrete situasjonen med hensyn avtalens parter, lovvalg, verneting, kompetent tilsynsmyndighet og beskrivelse av opplysningene som overføres (formål, kategorier osv.). Ikke minst må det nå vies enda større oppmerksomhet til bruk av underleverandører og utfylling av vedlegg II vedr. tekniske og organisatoriske tiltak. Disse tiltakene vil naturligvis være relevante for å sikre etterlevelse av kravene til sikkerhet etter forordningen, men vil også omfatte tiltak som er nødvendige tilleggstiltak som følge av Schrems II-dommen, jf. over.

Tidligere standardavtaler er fortsatt tilgjengelige for bruk i en periode inntil tre måneder etter at beslutningen om ny standardavtale trer i kraft (dvs. 20 dager etter offentliggjøringen i Official Journal). Etter dette må den nye avtalen benyttes for nye overføringer. Dersom partene allerede har inngått de tidligere standardavtalene, vil disse gi et gyldig overføringsgrunnlag (forutsatt at de gir tilstrekkelige garantier) i 18 måneder fra tidspunktet for ikrafttredelse av den nye standardavtalen.

Samtidig med den nye overføringsavtalen har EU-Kommisjonen vedtatt en ny standard databehandleravtale. Dette er altså ikke en overføringsavtale, men en avtale som inneholder nødvendige bestemmelser etter artikkel 28 i forholdet mellom behandlingsansvarlige og databehandler. Det er frivillig om man vil benytte denne eller en annen avtale som inneholder nødvendige bestemmelser. Det danske datatilsynet har tidligere fått bekreftelse fra Personvernrådet (EDPB) på at deres standardavtale tilfredsstiller kravene etter forordningen. I senere tid har også Direktoratet for forvaltning og økonomistyring etablert en standard databehandlermal. Denne siste har ikke noe formelt godkjentstempel fra EU-kommisjonen eller datatilsynsmyndighetene, men er en av flere maler som kan benyttes for å fasilitere at det kommer på plass nødvendige databehandlerbestemmelser mellom partene.