Sök
Till Aktuellt
Nyhetsbrev | 2021-06-08

Nya standardavtalsklausuler för överföring till tredje land och biträdesavtal

Den 4:e juni antog EU-kommissionen nya standardavtalsklausuler dels för överföring till tredje land dels för s.k. personuppgiftsbiträdesavtal.

Standardavtalsklausuler för överföring till tredje land som ingås mellan en data exportör och data importör i ett land utanför EU/EES kan vara ett alternativ för att sådan överföring av personuppgifter ska vara tillåten under GDPR. Standardavtalsklausulerna används i stor utsträckning av bl.a. molntjänstleverantörer och andra IT-leverantörer för överföring utanför EU.

Det har funnits ett behov av att uppdatera de tidigare, tills nu gällande, avtalsklausulerna, som togs fram innan GDPR. Enligt EU kommissionen innebär beslutet en uppdatering utifrån GDPR, anpassning till flera olika överföringsscenarier, större flexibilitet för behandlingskedjor med flera parter involverade, möjlighet för fler än två parter att ingå avtal samt en praktisk verktygslåda för att säkerställa efterlevnad av EU-domstolens dom i Schrems II. De nya standardavtalsklausulerna gör åtskillnad mellan följande överföringar:

  • personuppgiftsansvarig till personuppgiftsansvarig (controller to controller),
  • personuppgiftsansvarig till personuppgiftsbiträde (controller to processor),
  • personuppgiftsbiträde till personuppgiftsbiträde (processor to processor) och
  • personuppgiftsbiträde till personuppgiftsansvarig (processor to controller).

Beslutet har publicerats i EU:s officiella tidning den 4 juni och träder ikraft den 27 juni. De till nu gällande standardavtalsklausulerna för överföring upphör att gälla den 27 september och kan således inte användas i nya avtal efter det datumet. För behandlingar som redan sker med stöd av tidigare standardavtalsklausuler gäller dessa till den 27 december 2022, under förutsättning att de behandlingar som är föremål för avtalet förblir oförändrade och att användningen av dessa klausuler säkerställer att överföringen av personuppgifter omfattas av lämpliga skyddsåtgärder. Innan 27 december 2022 behöver parter som överför personuppgifter med stöd av nuvarande standardavtalsklausuler således upphöra med överföringen eller ingå nya avtal, alternativt hitta annan laglig grund för överföringen.

Kommissionen har även antagit ett beslut rörande standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden. Standardavtalsklausulerna i bilagan till beslutet får användas i avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Relaterat
Person med munskydd som använder mobiltelefon
Antikroppstester och GDPR
Börsskärm
Vissa tillämpningsproblem avseende närståendetransaktioner på aktiemarknaden
Stolar i mötesrum
Arbetsrättsliga nyheter – Nytt inom svensk arbetsrätt (första kvartalet 2021)
Person med munskydd som använder mobiltelefon
Antikroppstester och GDPR
Börsskärm
Vissa tillämpningsproblem avseende närståendetransaktioner på aktiemarknaden
Stolar i mötesrum
Arbetsrättsliga nyheter – Nytt inom svensk arbetsrätt (första kvartalet 2021)