Nye standardavtaler for overføring av personopplysninger til tredjeland

9. jun 2021

Den 4. juni 2021 publiserte EU-kommisjonen nye standardavtaler for overføring av personopplysninger til land utenfor EU/EØS (tredjeland). I denne artikkelen oppsummerer vi de viktigste endringene og gir deg råd om hvordan avtalene bør implementeres. 

Utgangspunktet er at overføringer av personopplysninger til stater utenfor EU/EØS («tredjestater) ikke er ansett som trygt og er forbud, idet tredjestater formodes å kunne tilby europeiske personopplysninger et dårligere vern enn personopplysningene ville hatt dersom de ble behandlet innad i EU/EØS. Fra GDPR artikkel 45 følger likevel at slik overføring kan skje dersom EU-kommisjonen har fastslått at tredjestaten sikrer «et tilstrekkelig beskyttelsesnivå».

Et tilstrekkelig beskyttelsesnivå anses å foreligge der overføringen bygger på et av grunnlagene som fremgår av GDPR artikkel 46. Den mest brukte overføringsmekanismen er EUs standardkontrakter. Dette er en standardavtale hvor virksomheten som behandler personopplysninger i tredjelandet (dataimportøren) avtalerettslig forplikter seg til å gi personopplysningene et tilsvarende vern som etter GDPR.

Etter at EU-domstolen sommeren 2020 avsa den såkalte «Schrems II»-avgjørelsen og ugyldiggjorde Privacy Shield (les mer om dette her), ble det oppstilt et tilleggskrav om å vurdere personvernet i dataimportørens land, særlig med hensyn til overvåkningshjemler fra offentlige myndigheter i mottakerlandet, og eventuelt iverksette ytterligere tiltak for å sikre at personopplysningene i tredjestaten nyter tilsvarende vern der som i EU/EØS.

 

Databehandleravtale

De nye standardavtalene utgjør, i motsetning til tidligere, også en databehandleravtale ved at den oppfyller innholdskravene i GDPR artikkel 28. Blant annet inneholder standardavtalen en ansvarsregulering som tilsvarer ansvarsregelen i GDPR artikkel 82 Det er derfor ikke lenger påkrevd å inngå en separat databehandleravtale når man benytter standardavtalen. Som databehandleravtale inneholder avtalen imidlertid kun minstekravene, og i mange tilfeller vil det derfor likevel være praktisk med en supplerende databehandleravtale som er tilpasset det konkrete forholdet mellom partene. Ved motstrid mellom standardavtalen og en eventuell supplerende databehandleravtale, går standardavtalen foran.

 

Fleksibilitet

Tidligere har man operert med flere versjoner av standardavtalene, avhengig av hvilken rolle dataeksportør og dataimportør har hatt. Nå har avtalene blitt samlet til én modulbasert avtale som omfatter flere overføringsscenarioer:

  • Behandlingsansvarlig – behandlingsansvarlig
  • Behandlingsansvarlig – databehandler
  • Databehandler – databehandler
  • Databehandler – underleverandør

Virksomheten må velge den modulen som gjelder for den enkelte overføring.

Avtalen har også fått en dockingklausul som gjør det enklere for andre og nye parter å tiltre avtalen. Klausulen er svært praktisk i de tilfeller der partene utskiftes for eksempel ved endringer i konsernforhold.

 

«Schrems II-krav»

Standardavtalen inneholder et nytt eget kapittel om offentlige myndigheters tilgang til personopplysninger behandlet av dataimportøren. Kapittelet er en direkte konsekvens av Schrems II-avgjørelsen.

Som part i avtalen skal man nå garantere at man ikke har grunn til å tro at lovgivningen i tredjelandet vil hindre dataimportøren i å overholde sine forpliktelser etter standardklausulene. Til illustrasjon ble EU-US Privacy Shield kjent ugyldig fordi amerikanske myndigheter hadde en for vid overvåkingsadgang som var i strid med EU-retten og retten til privatliv (the right to privacy). I vurderingen skal partene blant annet ta hensyn til

  • De spesifikke omstendighetene ved den konkrete overføringen, slik som opplysningenes karakter og omfang, formålet med overføringen og lagringsfasiliteter
  • Lovene i mottakerlandet, inkludert “practical experience with prior instances of request of disclosure from public authorities”, slik som rettspraksis eller rapporter fra uavhengige tilsynsmyndigheter
  • Partenes egne dokumenterte erfaringer
  • Om ytterligere tiltak er implementert.

Det kan synes som om standardklausulene åpner for en noe mer risikobasert tilnærming enn det EDPB (European Data Protection Board) ga uttrykk for i sin veileder etter Schrems II-avgjørelsen. En slik risikobasert tilnærming kan lettere legge til rette for dataoverføringer, men enn så lenge vil det være i strid med EDPB’s anbefalinger.  Uansett skal du kunne dokumentere overnevnte vurderinger og være i stand til å utlevere disse til tilsynsmyndighetene ved forespørsel.

 

Implementering

Alle virksomheter må erstatte de tidligere standardavtalene med den nye avtalen i løpet av en overgangsperiode på 18 måneder. Ved inngåelse av ny standardavtale bør de nye klausulene tas i bruk umiddelbart.

Ettersom de nye klausulene også utgjør en databehandleravtale, burde virksomheten gjennomgå eksisterende databehandleravtaler for å avdekke eventuell motstrid eller dobbeltregulering. Der hvor någjeldende databehandleravtale er overflødig, kan databehandleravtalen termineres.