Nye standardkontrakter fra EU-kommisjonen

EU kommisjonen publiserte i begynnelsen av juni to nye standardavtaler: (i) en standard databehandleravtale og (ii) en standardavtale for overføring av personopplysninger til såkalte tredjeland. Standardavtalene bygger på kravene fra personvernforordningen (GDPR) og, når det gjelder overføring til tredjeland, på EU-domstolens avgjørelse i Schrems II-saken.

Standard databehandleravtale

Dersom din bedrift bruker databehandlere, er det vel kjent at man må ha en databehandleravtale på plass. I utgangspunktet står man fritt til å utforme slike avtaler selv, men nå finnes det også før første gang en standardiserte databehandleravtale som er vedtatt av EU-kommisjonen. Denne nye standardavtalen gjelder mellom behandlingsansvarlig og databehandler, der behandlingen av personopplysninger kun skjer innenfor EØS. Avtalen gjenspeiler krav som følger av personvernforordningen artikkel 28. Dermed inneholder databehandleravtalen både minimumsinnhold som er påkrevd etter artikkel 28 nr. 3, samt regulerer eventuell bruk av underleverandører etter artikkel 28 nr. 4, herunder at slike underleverandører skal også pålegges de samme forpliktelsene etter avtalen.

Standardavtale for overføring av personopplysninger til tredjeland

Bakgrunn

EUs personvernforordning gjelder for EØS-området. Hvis en virksomhet ønsker å overføre personopplysninger til land utenfor EØS – såkalte tredjeland – må særlige regler i personvernforordningen følges. Det er flere grunner til det – blant annet behovet for å unngå at bedrifter bevisst velger å plassere databehandlingen i tredjeland som har dårligere personvernregulering enn det som følger av EU-regelverket. Videre ønsker man å sikre forsvarlig behandling av personopplysninger i alle tilfelle der grenseoverskridende behandling av praktiske årsaker er nødvendig.

Hovedregelen er at overføring av personopplysninger til tredjeland ikke er tillatt, med mindre virksomheten har et overføringsgrunnlag. Eksempler på overføringsgrunnlag er vedtak fra Kommisjonen om tilstrekkelig beskyttelsesnivå i tredjelandet, bindende virksomhetsregler (BCR), og standardkontrakter (Standard Contractual Clauses – "SCCs"). Til nå er det EU-kommisjonens standardkontrakter for overføring av personopplysninger til tredjeland (SCC) fra 2001, 2004 og 2010 som har vært mest brukt, og disse standardkontraktene ble videreført da personvernforordningen trådte i kraft i 2018. Det har imidlertid vært behov for en oppdatering, blant annet som følge av at det teknologiske landskapet har endret seg. Standardavtalen fra 2010 mellom behandlingsansvarlig og databehandler har heller ikke vært dekkende i den meget praktiske og vanlige situasjonen der behandlingsansvarlige bruker en databehandler innenfor EØS som har underdatabehandlere utenfor EØS.

Behovet for nye standardavtaler ble desto klarere etter at EU-domstolen i fjor avsa Schrems II-dommen. Schrems II omhandlet i utgangspunktet overføringsgrunnlaget Privacy Shield (en rammeverksavtale mellom EU og USA), men avgjørelsen har fått ringvirkningen for alt av overføringer til tredjeland. Du kan lese mer om Schrems II i vår artikkel her.

Fleksibel modulløsning og strengere krav til garantier for overføringen

Den nye standardavtalen for overføring av personopplysninger til tredjeland (SCC) er en ny og oppdatert avtale for overføring av personopplysninger til tredjeland utenfor EØS. Denne standardavtalen har forskjellige moduler avhengig av partene og overføringssituasjoner, og gir økt fleksibilitet. Avtalepartene må velge de modulene som gjelder for sine overføringer.

Standardavtalen er delt opp i fire seksjoner – den første inneholder generelle bestemmelser, den andre inneholder en oversikt over pliktene som påhviler partene, den tredje inneholder bestemmelser for de tilfeller der et tredjelands lover og praksis er slik at offentlige myndigheter i vedkommende tredjelandet kan få utlevert eller få innsyn i de overførte personopplysningene, og den siste seksjonen inneholder bestemmelser om lovvalg og opphør av kontrakten. I tillegg er det knyttet tre bilag til SCC'ene. Bilagene kan tilpasses det enkelte kontraktsforholdet og den enkelte typen databehandling og overføring. Dette skaper en smidig modulløsning for bruk av kontraktene på mange ulike sakstyper.

Som nevnt over inneholder seksjon nummer to av SCC'ene en oversikt over partenes plikter. Pliktene vil variere avhengig av relasjonen mellom partene. SCC'ene skiller mellom fire ulike overføringsscenarioer:

1. Behandlingsansvarlig til behandlingsansvarlig
2. Behandlingsansvarlig til databehandler
3. Databehandler til databehandler
4. Databehandler til behandlingsansvarlig

De gamle standardkontraktene fra 2001, 2004 og 2010 regulerer avtaleforhold mellom behandlingsansvarlige i EU og behandlingsansvarlige utenfor EU, samt behandlingsansvarlige i EU og databehandlere utenfor EU (altså punkt 1 og punkt 2). En nyvinning med de nye standardkontraktene er at det er nå blitt vedtatt egne kontraktsvilkår for avtaleforhold mellom en databehandler i EU og en databehandler/behandlingsansvarlig utenfor EU (punkt 3 og 4). Nyvinningen har sammenheng med at databehandlere i EU ble underlagt langt flere selvstendige plikter enn tidligere med ikrafttredelsen av personvernforordningen i 2018.

En annen nyvinning er at de nye SCC'ene inneholder en inntredelsesklausul ("docking clause") som gjør det mulig for andre virksomheter å slutte seg til avtalen. Dette forenkler og effektiviserer de tilfellene der avtalepartene skal skiftes ut over tid, for eksempel, ved oppkjøp eller salg av foretak i et konsern.

For overføring mellom behandlingsansvarlig og databehandler inneholder de nye SCC'ene innholdskravene som GDPR artikkel 28 stiller til databehandleravtaler. Dette betyr i praksis at det ikke lenger er nødvendig å inngå en separat databehandleravtale i tillegg til SCC'ene.

EU-kommisjonen skriver på sine nettsider at disse nye verktøyene vil skape mer rettslig forutsigbarhet for europeiske bedrifter, og vil være til nytte for små- og mellomstore bedrifter (SMEs) for å sørge for etterlevelse av kriteriene for sikker dataoverføring, der personopplysninger overføres eller tilgjengeliggjøres på tvers av landegrensene.

Veien videre

De nye standardavtalene ble offentliggjort 4. juni, men vil formelt bli vedtatt gjennom gjennomføringsrettsakter 27. juni. Når avtalene blir inntatt i EØS-avtalen, får de også rettskraft i Norge. Datatilsynet har signalisert at de vil akseptere at norske virksomheter begynner å bruker standard databehandleravtalen fra EU allerede nå.

Enn så lenge er avtalene kun tilgjengelig på engelsk, tysk og fransk. Det er forventet at begge standardavtalene vil oversettes til norsk når de inntas i EØS-avtalen.

Dersom man allerede har inngått de tidligere SCC'ene basert på de gamle standardene for overføring til tredjeland, vil disse gi et gyldig overføringsgrunnlag forutsatt at de nødvendige garantiene er på plass, i 18 måneder fra ikrafttredelsestidspunktet – fram til 27. desember 2022. Det er derfor viktig å planlegge og komme i gang med en eventuell erstatning av gamle standard SCC'ene med de nye overføringsavtalene. Vår team bistår gjerne med spørsmål rundt dette!