Europa-Kommissionen har i dag vedtaget nye standardbestemmelser til brug for overførsel af personoplysninger til usikre tredjelande. Disse kaldes også ofte for ”standardkontrakter”. De tidligere vedtagne standardbestemmelser fra Europa-Kommissionen bliver i vidt omfang anvendt som overførselsgrundlag af virksomheder og myndigheder i dag, når de overfører personoplysninger til tredjelande. Det er derfor også forventningen, at de nye standardbestemmelser vil have stor interesse.
Hvad er nyt?
Eftersom de tidligere vedtagne standardbestemmelser er vedtaget efter det tidligere gældende persondatadirektivet, har der været behov for at opdatere dem i overensstemmelse med databeskyttelsesforordningen. Derudover har Europa-Kommissionen med de nye standardbestemmelser forsøgt at modernisere standardbestemmelserne, så de i højere grad tager højde for den måde, behandling af personoplysninger finder sted i dag.
De nye standardbestemmelser har derfor også et bredere anvendelsesområde end de tidligere vedtagne standardbestemmelser. Det betyder, at det nu også vil være muligt at benytte standardbestemmelserne som overførselsgrundlag ved en overførsel fra en databehandler i EØS til en underdatabehandler uden for EØS. De nye standardbestemmelser kan også benyttes af databehandlere i EØS til overførsel af personoplysninger til en dataansvarlig uden for EØS. Det vil som hidtil også være muligt at benytte standardbestemmelserne til en overførsel fra en dataansvarlig i EØS til enten en databehandler eller anden dataansvarlig uden for EØS.
Selv om der kun er vedtaget et sæt standardbestemmelser, består disse af særskilte moduler, som anvendes alt efter, hvilken af ovennævnte overførselssituationer man befinder sig i.
Hvad gør man, når man har brugt de tidligere standardbestemmelser?
Vedtagelsen af de nye standardbestemmelser får også betydning for anvendelsen af de tidligere vedtagne standardbestemmelser. Det er derfor vigtigt for virksomheder og myndigheder at være opmærksom på dette, hvis de allerede overfører personoplysninger ved brug af de tidligere vedtagne standardbestemmelserne. De vil således alene fortsat kunne anvendes på visse betingelser i en begrænset periode. Senest ved udløbet af denne periode skal man derfor sørge for at skifte til et andet overførselsgrundlag som eksempelvis de nye standardbestemmelser.
Hvad betyder det ift. Schrems II?
Selv om standardbestemmelserne er blevet opdateret på baggrund af databeskyttelsesforordningen og retspraksis fra EU-Domstolen, herunder den såkaldte Schrems II-afgørelse, skal man som dataeksportør fortsat overveje behovet for supplerende foranstaltninger, når man vil benytte de nye standardbestemmelser.
Læs mere
Du kan læse Europa-Kommissionens standardbestemmelser for internationale overførsler her.
Du kan læse Europa-Kommissionens nyhedstekst om de nye standardbestemmelser her.
Du kan læse mere om overførsel til tredjelande og de forskellige overførselsgrundlag her og i Datatilsynets vejledning om overførsel af personoplysninger til tredjelande.