Strax före årsskiftet löper en viktig tidsfrist ut för företag och andra verksamheter som överför personuppgifter till länder utanför EU/ESS. Den som överför personuppgifter baserar ofta dessa överföringar på så kallade standardavtalsklausuler (Standard Contractual Clauses, SCC) i den mening som avses i artikel 46.2 (c) dataskyddsförordningen (GDPR).
Klausulerna är standardavtal som antagits av EU-kommissionen och innehåller skyldigheter dels för personuppgiftsansvariga som vill föra över personuppgifter till länder utanför EU/EES, dels för personuppgiftsansvariga eller personuppgiftsbiträden som tar emot sådana uppgifter. När man använder standardavtalsklausuler kan personuppgifter överföras till tredjeländer utan ytterligare godkännande från tillsynsmyndigheterna.
Nya standardavtalsklausuler
I mitten av förra året tog EU-kommissionen fram ett genomförandebeslut om nya klausuler som anpassats till dataskyddsförordningen. Beslutet innebär att de tidigare standardavtalsklausulerna successivt ersätts.
Från och med den 27 september 2021 måste de nya standardavtalsklausulerna användas för nya avtal. För gamla avtal som ingåtts före den 27 september 2021 har EU-kommissionen föreskrivit en övergångsperiod för övergången till de nya klausulerna, som nu snart kommer att löpa ut. Senast den 27 december 2022 måste alla gamla avtal ha konverterats. Efter detta datum kommer de tidigare standardavtalsklausulerna inte längre att betraktas som en lämplig skyddsåtgärd i den mening som avses i artikel 46.2 GDPR för export av personuppgifter.
Nästa steg
Med tanke på att tidsfristen närmar sig måste företag och andra verksamheter kontrollera om de fortfarande överför personuppgifter på grundval av de tidigare standardavtalsklausulerna. Om så är fallet bör de utan dröjsmål ändra sina avtal till de nya klausulerna. Om en tillsynsmyndighet konstaterar att personuppgifter överförs till tredjeländer eller internationella organisationer utan lämpliga skyddsåtgärder kan myndigheten beordra att sådana överföringar avbryts. Dessutom kan myndigheten överväga att ålägga böter.
När det gäller de ytterligare krav på användning av standardavtalsklausuler som EU-domstolen utvecklade i Schrems II-domen har inget förändrats genom de nya klausulerna. Detta innebär att den som överför personuppgifter, även vid användning de nya klausulerna, måste kontrollera rättsläget och praxis i tredjelandet och vid behov vidta ytterligare åtgärder, eller till och med stoppa överföringen om det behövs.
Kontakta Sebastian Berg (sebastian@techlaw.se), expert inom IT/teknik och dataskydd för råd.