Den 4. juni 2021 publiserte EU-kommisjonen endelig versjon av de nye standardklausulene for overføring av personopplysninger til tredjeland (SCC).
Dette følger opp utkastet fra 12. november som var ute på høring. For bedrifter som benytter seg av dette overføringsgrunnlaget ved overføringer av personopplysninger til tredjeland, er det nå gitt en frist på 18 måneder til å erstatte de gamle SCC-ene. Nye overføringer kan baseres på de gamle SCC-ene i tre måneder til.
Oppdateringen må sies å være kjærkommen. Forrige versjon av mest brukte versjon av SCC-ene (behandlingsansvarlig-databehandler) var fra 2010. Ikrafttredelsen av GDPR i 2018, Schrems II-avgjørelsen fra juli 2020 og utviklingen for øvrig gjør at det var på høy tid med en oppdatering.
Selve SCC-ene er relativt kortfattede, og det er lagt opp til at tilpasninger gjøres i vedleggene. Dette er i tråd med Schrems II-avgjørelsen, som understrekte at overføringer til tredjeland basert på SCC-er etter omstendighetene må suppleres med ytterligere beskyttelsestiltak for å sikre et adekvat beskyttelsesnivå av personopplysningene.
«Modulbasert» oppbygning
En nyvinning i de nye SCC-ene sammenlignet med tidligere versjoner er at de dekker flere partskonstellasjoner. De tidligere SCC-ene var kun tilrettelagt for overføringer fra behandlingsansvarlig til behandlingsansvarlig eller fra behandlingsansvarlig til databehandler, mens de nye SCC-ene nå dekker alle de følgende overføringer:
- Behandlingsansvarlig til behandlingsansvarlig
- Behandlingsansvarlig til databehandler
- Databehandler til databehandler
- Databehandler til behandlingsansvarlig
Dette er en stor forbedring som dekker en praktisk utfordring ved de tidligere SCC-ene. Bestemmelsene kan også bli brukt i avtalekonstellasjoner med flere enn to parter, og det er tilrettelagt for hvordan nye parter kan slutte seg til dem via den såkalte «docking clause». Et skår i gleden er imidlertid at tilslutning forutsetter at den nye avtaleparten skal signere et vedlegg til SCC-ene. Dersom dette må tolkes bokstavelig, reduserer det betydelig fleksibiliteten til SCC-ene på dette punktet.
I tillegg oppfyller de nye SCC-ene kravene til databehandleravtaler etter personvernforordningen artikkel 28 nr. 3. Det er dermed ikke lenger nødvendig med en egen databehandleravtale i tillegg til de standardiserte personvernbestemmelsene.
Risikobasert tilnærming og Schrems II-dommen
Som forventet adresserer Kommisjonen Schrems II-dommen og tar sikte på at bestemmelsene skal være i tråd med avgjørelsen. Det som er særlig interessant å merke seg, er at Kommisjonen opprettholder sin tolkning av Schrems II og åpner for at partene kan ha en risikobasert tilnærming til overføring. Etter klausul 14 i fotnote 12 i SCC-ene er det presisert at vurderingen av et tredjelands lovgivning og praksis er en del av en mer helhetlig vurdering.
Momentene som kan legges vekt på er dokumenterte erfaringer med innsynsforespørsler fra myndighetshold eller mangelen på slike forespørsler, opplysningskategorien og samfunnsområde partene opererer innen. Ut ifra en samlet vurdering av slike momenter må en så komme frem til at dataimportøren i tredjelandet ikke er forhindret i å overholde kravene i SCC-ene.
At bestemmelsen legger opp til en vurdering av de praktiske erfaringene med innsynsbegjæringer fra tredjelandets myndigheter, indikerer at Kommisjonen anser den konkrete sannsynligheten for innsyn som relevant for partenes vurdering av om de har grunn til å tro at tredjelandets lovgivning står i veien for overholdelse av SCC-ene. Dersom sannsynlighetsbetraktninger ikke skulle vært relevante, ville det ikke hatt noe for seg å ta hensyn til slike praktiske erfaringer, all den tid den eneste relevante faktoren i så fall vil være hvorvidt rettstilstanden i tredjestaten åpner for det som etter EU-retten vil være uproporsjonale inngrep i personvernet.
Implikasjonene av en slik tolkning er at vurderingen av om de supplerende beskyttelsestiltakene som kreves etter Schrems II-dommen er egnet til å sikre et tilstrekkelig beskyttelsesnivå, vil variere med den konkrete risikoen i saken. I denne forstand kan man si at Kommisjonen inntar en risikobasert tilnærming til EU-domstolens krav ved overføring av personopplysninger til tredjestater. Dette synes å være en lempeligere tilnærming enn Personvernrådets (EDPB) tilsynelatende strengere veiledende uttalelser til Schrems II-avgjørelsen.
Motstrid med Personvernrådets veileder
Det at Kommisjonen har en annen tilnærming enn Personvernrådet kommer til uttrykk i en felles uttalelse fra Personvernrådet og EUs datatilsyn (EDPS) fra 14. januar i år, der de to aktørene adresserer motstriden mellom Kommisjonens forslag til nye SCC-er og Personvernrådets veileder. Kommisjonen presiserer at de har tatt hensyn til uttalelsen, men har altså blitt stående ved formuleringen.
Dersom Personvernrådet ikke forandrer sin tilnærming ved vedtagelsen av endelig veileder, blir det interessant å se hvordan dette vil bli overholdt i praksis. I prinsippet vil kommisjonsbeslutninger være bindende etter EU-retten, noe som ikke er tilfellet for Personvernrådets uttalelser.
Hva må gjøres nå?
- Om man ikke allerede har kontroll; sørge for å få oversikt over alle overføringer i virksomheten som er basert på SCC. Deretter må man ha en plan for å erstatte disse innen gjeldende frister.
- Kartlegge hvordan man setter sammen «moduler» som passer for sin virksomhet (avhengig av om man er behandlingsansvarlig eller databehandler, eksportør eller importør osv.)
- Prioritere å implementere de nye SCC-ene i nye avtaler, deretter i eksisterende avtaler.
Artikkelforfattere:
Torodd Aastorp, trainee
Kjetil Wick Sætre, advokat
Øyvind Eidissen Ransedokken, advokat/partner