Personvernrådets endelige Schrems II-veiledning

| Innsikt

Det Europeiske Personvernrådet (EDPB) vedtok 18 juni 2021 endelige anbefalinger for internasjonale dataoverføringer. Anbefalingene fra EDPB, og ny EU SCC som kom på plass tidligere denne måneden, klargjør hvilke vurderinger og tiltak som må på plass for å sikre etterlevelse av GDPRs strenge regler for internasjonale dataoverføringer.

De endelige anbefalingene fra EDPB angir hva virksomheter må gjøre for å sikre lovlig overføring av personopplysninger til land utenfor EØS («tredjeland») i lys av den såkalte Schrems II-dommen.Anbefalingen er basert på et utkast fra 10. november 2020 som ble sterkt kritisert for å være svært streng og ikke i tilstrekkelig grad åpne for en risikobasert tilnærming.

EDPB fastholder i den endelige anbefalingen at dataeksportører må gjennomføre en vurdering i seks steg om hvorvidt det er behov for tilleggstiltak for å beskytte personopplysningene som skal overføres til tredjeland. I utgangspunktet opprettholdes også de ulike scenariene med eksempler på tilleggstiltak, men det gjøres enkelte justeringer for flere av eksemplene.

De viktigste endringene i forhold til tidligere utkast finnes i tilknytning til pkt. 2.3 om hvordan man skal vurdere om overføringsgrunnlaget man baserer seg på gir et effektivt vern i praksis. Det følger fortsatt at man som dataeksportør må foreta en vurdering av lovgivningen i tredjelandet som opplysninger skal overføres til. EDPB legger imidlertid nå i større grad enn tidligere opp til at man kan legge vekt på praksisen til myndighetene i det relevante tredjelandet. Man kan også se hen til de praktiske erfaringene til dataimportøren hva angår henvendelser fra nasjonale myndigheter om tilgang til data knyttet til liknende dataoverføringer.

Når det gjelder vurderingen av effektiviteten til overføringsgrunnlaget, er det viktig å merke seg at veiledningen også gjelder der man baserer seg på den nye standardavtalen for overføring (SCC). Den nye SCC-en ble vedtatt av EU-kommisjonen tidligere denne måneden og må tilpasses for den enkelte overføringssituasjonen ved å velge relevant modul for hvem som er dataeksportør og dataimportør. I tillegg må man i vedleggene til SCC-en angi avtalte tilleggstiltak som skal sikre vern av opplysningene i forbindelse med overføringen.

Med den endelige anbefalingen og med ny SCC på plass er det dermed skapt større klarhet i hva som skal til for å sikre lovlige internasjonale dataoverføringer i tråd med EUs personvernforordning.

For en praktisk gjennomgang av EDPBs endelige veiledning og ny SCC, samt råd og tips om hvordan gå frem, meld deg allerede nå på vårt webinar 24. august 2021!