EU-kommissionens nya standardavtalsklausuler
Den 4 juni 2021 antog EU-kommissionen nya standardavtalsklausuler för överföring av personuppgifter till tredje land samt standardavtalsklausuler för personuppgiftsbiträdessituationer. Båda uppsättningarna standardavtalsklausuler började gälla den 27 juni 2021.
Standardavtalsklausuler för tredjelandsöverföring
Idag använder många företag och organisationer molntjänster och andra digitala tjänster som innebär att personuppgifter överförs till länder utanför EU/EES. Att föra över personuppgifter till länder utanför EU/EES är endast tillåtet under vissa förutsättningar och om en sådan förutsättning inte föreligger kan en sanktionsavgift komma att dömas ut.
Om EU-kommissionen inte har beslutat att ett land säkerställer en adekvat skyddsnivå behöver överföraren vidta lämpliga skyddsåtgärder. EU-kommissionens nya standardavtalsklausuler för tredjelandsöverföringar är ett exempel på sådana lämpliga skyddsåtgärder.
Dessa nya standardavtalsklausuler ersätter tidigare uppsättningar av standardavtalsklausuler och den 27 september 2021 upphörde de tidigare standardavtalsklausulerna att gälla. Det innebär att inga nya avtal ska ingås med de gamla klausulerna, däremot så löper en övergångsperiod för de avtal som ingåtts innan 27 september fram till 27 december 2022. Om de nya standardavtalsklausulerna inte implementeras i tid kan det innebära att överföringen är otillåten.
Innan de nya standardavtalsklausulerna kan användas som överföringsmekanism till tredje land behöver mottagarlandets nationella rätt utvärderas för att säkerställa att de utförda personuppgifterna åtnjuter ett likvärdigt skydd i landet. Vidare behöver eventuella kompletterande åtgärder identifieras.
När nya avtal ingås ska de nya standardavtalsklausulerna användas. För avtal som ingicks innan den 27 september behöver dessa uppdateras med de nya standardavtalsklausulerna senast den 27 december 2022. Det är läge att redan nu analysera hur behandlingen som regleras i befintligt avtal eller är tänkt att regleras i framtida avtal stämmer överens med de nya standardavtalsklausulerna.
För verksamheter som träffas av lagen om offentlig upphandling föreligger det begränsade möjligheter till att ändra avtalen. Det är därför av särskild vikt att möjligheterna till att ändra befintliga avtal undersöks i ett tidigt skede.
Standardavtalsklausuler mellan personuppgiftsansvarig och personuppgiftsbiträde
När ett personuppgiftsbiträde behandlar personuppgifter för en personuppgiftsansvarigs räkning måste ett personuppgiftbiträdesavtal tecknas mellan parterna. Dessa nya standardavtalsklausuler kan användas för att uppfylla kraven på ett sådant avtal. Standardavtalsklausulerna är nya och ersätter inga befintliga klausuler. De är frivilliga att implementera och syftar till att säkerställa att kraven i GDPR uppfylls.
Juristerna på Knowit Cybersecurity & Law kan hjälpa er med implementeringen av dessa standardavtalsklausuler i era befintliga och framtida avtal. Hör gärna av er till oss så berättar vi mer!