Nye standardkontraktbestemmelser for internationale overførsler vedtaget

Ved EU-Domstolens skelsættende dom i Schrems II-sagen blev den såkaldte Privacy Shield-aftale om overførsel af personoplysninger mellem EU og USA erklæret ugyldig. Samtidig fastslog domstolen et fundamentalt krav, om at beskyttelsen af personoplysninger skal følge med over landegrænserne til usikre tredjelande (lande uden for EU/EØS), således at der også her sikres en beskyttelse, der i det væsentlige svarer til beskyttelsen i databeskyttelsesforordningen (GDPR) læst i lyset af EU-Charteret. Dette skal ske ved – efter en konkret vurdering – at fastsætte supplerende foranstaltninger, således at hullerne i den utilstrækkelige beskyttelse i tredjelandet lukkes.

Dommen har medført betydelig usikkerhed i forhold til retstilstanden i praksis, hvilket har udfordret mange dataeksportører i EU. Det Europæiske Databeskyttelsesråd (EDPB) offentliggjorde derfor i november 2020 et ikke-endeligt udkast til en række anbefalinger som reaktion på Schrems II-dommen med et katalog over disse supplerende foranstaltninger. Du kan læse mere om EDPB’s anbefalinger i vores nyhed herom.

EU-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger udgør i praksis det væsentligste overførselsgrundlag for overførsler til tredjelande, herunder til USA i forbindelse med forskellige cloud-løsninger. Standardkontraktbestemmelserne skal – sammen med de endelige versioner af EDPB’s anbefalinger, som forventes offentliggjort inden længde – udgøre grundlaget for at håndtere udfordringerne fra Schrems II-dommen i praksis. De nye standardkontraktbestemmelser fra EU-Kommissionen har derfor længe været ventet.

FORMÅLET MED DE NYE STANDARDKONTRAKTBESTEMMELSER

De hidtidige standardkontraktbestemmelser er alle vedtaget efter de gamle regler i det nu ophævede databeskyttelsesdirektiv og er helt tilbage fra 2001 (dataansvarlig-dataansvarlig) og fra 2002 (dataansvarlig-databehandler) med revisioner heraf i henholdsvis 2004 og 2010.

Formålet med de nye standardkontraktbestemmelser er at bringe de hidtidige standardkontraktbestemmelser i trit med den teknologiske udvikling, herunder anvendelse af cloud-services m.v., samt de nye regler og rettigheder for de registrerede i GDPR. Hertil kommer, at Schrems II-dommen nødvendiggjorde en ændring af standardkontraktbestemmelserne, så de bedre matcher kravene i dommen; det gælder pligten til at vurdere og sikre, at modtagerlandets lovgivning og praksis yder den fornødne beskyttelse af oplysninger, samt – hvis ikke – at fastsætte supplerende foranstaltninger for at lukke hullerne i den manglende beskyttelse.

OVERSKUELIG OPBYGNING OG MERE FLEKSIBILITET

Standardkontraktbestemmelserne er overskueligt opbygget i moduler, der omfatter 4 sæt af bestemmelser for følgende 4 overordnede typer af overførsler, hvoraf de sidste to er nyskabelser:

• Overførsler mellem dataansvarlig-dataansvarlig (Modul 1)
• Overførsler mellem dataansvarlig-databehandler (Modul 2)
• Overførsler mellem databehandler-databehandler (Modul 3)
• Overførsler mellem databehandler-dataansvarlig (Modul 4)

Opbygningen er med andre ord, at der gælder en række bestemmelser i standardkontraktbestemmelserne, der er fælles for alle 4 ovennævnte situationer, hvorefter man vælger det specifikke modul af bestemmelser, der er relevant for den pågældende overførsel. Dataansvarlige og databehandlere kan således anvende det modul, som kan tilpasses lige præcis deres rolle(r) og ansvar.

Hertil kommer, at de nye standardkontraktbestemmelser – ligesom de hidtidige standardkontraktbestemmelser – indeholder en række bilag (”Annexes”), som parterne skal udfylde vedrørende de konkrete overførsler. Annex I omhandler en beskrivelse af parterne og overførslerne. I Annex II skal parterne fastsætte de tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gælde for overførslerne. Der er inkluderet en række eksempler på foranstaltninger, men parterne skal selv tage stilling til og fastsætte de specifikke foranstaltninger i lyset af overførslerne. Annex III indeholder en liste over underdatabehandlere.

Standardkontraktbestemmelserne er tillige gjort mere fleksible, fordi de gør det let, dels for flere dataeksportører at være parter til standardkontraktbestemmelserne, dels at tilknytte flere parter til aftalen løbende i takt med udskiftning af leverandører (den såkaldte ”docking-clause” i Section I, Clause 7).

HÅNDTERINGEN AF SCHREMS II-DOMMEN – EN RISIKOBASERET TILGANG MED KRAV OM DOKUMENTATION

De nye standardkontraktbestemmelser vier en hel sektion til håndteringen af Schrems II-dommen (Section III), der omhandler ”Local laws and practices affecting compliance with the Clauses” (Clause 14) og ”Obligations of the data importer in case of access by public authorities” (Clause 15).

EU-kommissionen har ved afgørelsen om standardkontraktbestemmelserne udtrykt en mere risikobaseret tilgang end den, som EDPB tidligere har givet udtryk for ville være hensigtsmæssig i bl.a. høringssvar til udkastet til afgørelsen.

De nye standardkontraktbestemmelser har således en risikobaseret tilgang til spørgsmålet om, hvorvidt Schrems II-doktrinen om kravet om en fornøden beskyttelse i tredjelandet er opfyldt. Parterne skal garantere, at de ikke har grund til at tro (”no reason to believe”), at tredjelandets lovgivning og praksis medfører, at dataimportøren forhindres i at opfylde sine forpligtelser i henhold til standardkontraktbestemmelserne. Parterne skal i denne forbindelse foretage en samlet vurdering, hvori der særligt skal tages hensyn til ”the specific circumstances of the transfer”, herunder f.eks. kategorierne og formatet af data m.v. Derudover skal der bl.a. lægges vægt på lovgivning og praksis i tredjelandet, men dette kan ske efter en samlet vurdering (”overall assessment”), hvori indgår bl.a. relevante og dokumenterede ”practical experiences” med tidligere tilfælde af anmodninger om udlevering af data eller fraværet heraf, der dækker en tilpas repræsentativ tidsmæssig periode.

I standardkontraktbestemmelserne opfordres dataansvarlige og databehandlere til at fastsætte supplerende foranstaltninger ved hjælp af kontraktbestemmelser, der supplerer standardkontraktbestemmelserne, for at sikre den fornødne beskyttelse i lyset af Schrems II-dommen.

I EDPB’s anbefalinger fra november 2020 har EDPB lagt op til, at der som teknisk foranstaltning skal ske pseudonymisering og/eller kryptering ved overførsel af personoplysninger til cloud-leverandører eller andre databehandlere i tredjelande, der ikke lever op til det fornødne beskyttelsesniveau – dvs. at personoplysningerne i sådanne tilfælde ikke må fremtræde i klar tekst.

I modsætning hertil stilles der i standardkontraktbestemmelserne alene krav om, at ”Parterne overvejer navnlig at anvende kryptering eller pseudonymisering, herunder under videregivelse, hvis formålet med behandlingen kan opfyldes på denne måde. I tilfælde af pseudonymisering er det, hvor det er muligt, udelukkende dataeksportøren, der råder over de supplerende oplysninger, der kan knytte personoplysningerne til en specifik registreret person.” (Clause 8, Modul 2, punkt 8.6). Dette er også udtryk for en i udgangspunktet mere risikobaseret og pragmatisk tilgang end EDPB i anbefalingerne.

Det er vigtigt at være opmærksom på, at vurderingen af lovligheden af overførslen og behovet for at fastsætte supplerende foranstaltninger skal dokumenteres og kunne udleveres til tilsynsmyndighederne (Datatilsynet), jf. Clause 14 (d).

Derudover indeholder standardkontraktbestemmelser i Clause 15 en række forpligtelser for dataimportørens i tilfælde af offentlige myndigheders adgang, herunder bl.a. om underretninger til dataeksportøren om myndigheders anmodning om adgang til data.

KAN MAN ÆNDRE I DE NYE STANDARDKONTRAKTBESTEMMELSER?

Standardkontraktbestemmelserne giver mulighed for parterne for at indsætte standardkontraktbestemmelserne som del af en mere omfattende aftale samt at tilføje yderligere kontraktbestemmelser om supplerende foranstaltninger, herunder sikkerhedsforanstaltninger. Det må dog aldrig ske på en måde, hvor de nye kontraktbestemmelser enten direkte eller indirekte er i modstrid med standardkontraktbestemmelserne eller udvander de registreredes rettigheder. F.eks. vil det ikke være muligt at ændre standardkontraktbestemmelserne med et supplerende vilkår om, at en databehandler må anvende personoplysningerne omfattet af bestemmelserne til egne formål. Man skal være opmærksom på, at hvis standardkontraktbestemmelserne ændres i strid med ovenstående, vil aftalen blive en såkaldt ad hoc-aftale, som kræver Datatilsynets forudgående godkendelse.

Det bemærkes, at det er fuldt tilsigtet, at parterne skal udfylde Annex I-III i lyset af de konkrete omstændigheder for overførslen.

HVORNÅR GÆLDER DE NYE STANDARDKONTRAKTBESTEMMELSER OG HVAD SKER DER MED DE GAMLE?

De nye standardkontraktbestemmelser træder i kraft den 27. juni 2021. De hidtidige (gamle) standardkontraktbestemmelser kan dog fortsat anvendes på nye overførsler i en periode på 3 måneder, dvs. frem til den 27. september 2021. Dette giver fleksibilitet i forhold til planlagte, men endnu ikke gennemførte overførsler. Fra den 27. september 2021 skal alle nye overførsler indgås på de nye standardkontraktbestemmelser. Overførsler, som er eller frem til den 27. september 2021 bliver baseret på de gamle standardkontraktbestemmelser, skal senest den 27. december 2022 være udskiftet med de nye standardkontraktbestemmelser. Senest den 27. december 2022 bliver de hidtidige (gamle) standardkontraktbestemmelser med andre ord endegyldigt lagt i graven.

VORES ANBEFALINGER

De nye standardkontraktbestemmelser vil gøre det lettere at overføre personoplysninger til tredjelande. Det må forventes, at standardkontraktbestemmelserne fortsat vil udgøre det i praksis mest anvendte overførselsgrundlag for overførsler til usikre tredjelande.

Dataansvarlige og databehandlere, der overfører personoplysninger til usikre tredjelande på baggrund af standardkontraktbestemmelserne, skal dog være opmærksom på følgende:

• Husk overgangsreglerne for de nye standardkontraktbestemmelser

De hidtidige standardkontraktbestemmelser kan alene anvendes på nye overførsler frem til den 27. september 2021. I denne periode er det således vigtigt at overveje, om nye overførsler ønskes baseret på de hidtidige eller de nye standardkontraktbestemmelser.

På længere sigt (3-18 måneder) må det anbefales, at der implementeres en procedure, så (1) alle nye overførsler baseres på de nye standardkontraktbestemmelser, og (2) alle eksisterende aftaler baseret på de hidtidige standardkontraktbestemmelser erstattes af de nye standardkontraktbestemmelser. Dette kan være tidskrævende og vil naturligt kræve genforhandling med parterne. Så det er bare om at komme i gang!

• Husk at brug af standardkontraktbestemmelserne er ikke et quick fix

Brugen af de nye standardkontraktbestemmelser er ikke et quick fix på Schrems II-dommen, fordi dataeksportøren i henhold til standardkontraktbestemmelserne altid skal foretage en konkret vurdering af lovligheden af overførslen. Hertil kommer, at dataeksportøren er forpligtet til at overveje, om der – i tillæg til standardkontraktbestemmelserne – skal fastsættes yderligere supplerende foranstaltninger i lyset af den konkrete overførsel.

• Husk at sikre dokumentation for dine vurderinger

For at kunne leve op til standardkontraktbestemmelserne skal vurderingen af lovligheden af overførslen samt behovet for supplerende foranstaltninger dokumenteres, og dokumentationen skal kunne stilles til rådighed for Datatilsynet. Dette kan med fordel ske i en skriftlig såkaldt ”Transfer Impact Assessment”, der omfatter en samlet vurdering af lovligheden af overførslen.

Derudover afventer vi fortsat den endelige version af anbefalingerne fra EDPB, som forventes offentliggjort inden længe.