Positive udtalelser om Kommissionens nye standardkontraktbestemmelser
Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse har for nylig udtalt sig positivt om EU-Kommissionens udkast til reviderede standardkontraktbestemmelser. I denne nyhed kan du læse om, hvor de dog samtidig ser, at bestemmelserne stadig kan forbedres.
Den 10. november 2020 offentliggjorde EU-Kommissionen udkast til to sæt reviderede standardkontraktbestemmelser. Udkastene har været i offentlig høring, men er endnu ikke endeligt vedtaget.
Det ene sæt standardkontraktbestemmelser regulerer overførsel af personoplysninger til tredjelande, mens det andet sæt regulerer forholdet mellem dataansvarlige og databehandlere inden for EU.
Standardkontraktbestemmelserne
Bestemmelserne for overførsler til tredjelande
Udkastet til de nye standardkontraktbestemmelser for tredjelandsoverførsler udfylder et retligt tomrum, da de blandt andet regulerer overførsler af personoplysninger fra databehandlere inden for EU/EØS til dataansvarlige og databehandlere i usikre tredjelande. Der har ikke tidligere eksisteret standardkontraktbestemmelser, der regulerer tredjelandsoverførsler, hvor dataeksportøren er databehandler.
I tråd med EU-Domstolens domsafsigelse i Schrems II-sagen lægger udkastet op til, at dataeksportøren skal foretage en vurdering af beskyttelsesniveauet i tredjelandet, eksempelvis om lovgivningen i tredjelandet lever op til beskyttelsesniveauet inden for EU/EØS. Det lægger også op til, at dataeksportører i endnu højere grad skal foretage en vurdering af, hvilke passende supplerende foranstaltninger der kan implementeres for at beskytte de registreredes personoplysninger.
Læs EU-Kommissionens udkast til reviderede standardkontraktbestemmelser for tredjelandsoverførsler.
Bestemmelser mellem dataansvarlige og databehandlere
EU-Kommissionens udkast til standardkontraktbestemmelser mellem dataansvarlige og databehandlere inden for EU regulerer selve behandlingen af personoplysninger, der foretages af en databehandler på vegne af en dataansvarlig. Bestemmelserne skal hjælpe de dataansvarlige med at overholde databeskyttelsesforordningens krav om at indgå en skriftlig databehandleraftale og med at forstå forordningens specifikke krav til indholdet af sådanne aftaler.
Kommissionens nye standarddatabehandleraftale har mange ligheder med det danske datatilsyns skabelon til en standarddatabehandleraftale, som blev godkendt af EU-Kommissionen i december 2019 og dermed officielt fik status som "standardkontraktbestemmelse".
De fælles udtalelser om bestemmelserne
Det Europæiske Databeskyttelsesråd (EDPB) og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) har offentliggjort to fælles udtalelser om EU-Kommissionens udkast til de reviderede standardkontraktbestemmelser. EDPB og EDPS er overordnet positivt stemt over for begge udkast, men præsenterer samtidig en række forslag til forbedringer.
Forbedringer til udkastet til bestemmelserne om tredjelandsoverførsler
I forhold til udkastet til standardkontraktbestemmelser for tredjelandsoverførsler bemærker EDPB og EDPS, at EU-Kommissionen bør uddybe, at det kan være nødvendigt for dataeksportøren at implementere yderligere supplerende foranstaltninger for at sikre et beskyttelsesniveau, der i det væsentligste svarer til beskyttelsesniveauet inden for EU/EØS.
Standardkontraktbestemmelserne bør derfor henvise til EDPB's kommende anbefalinger om at iværksætte supplerende foranstaltninger, hvis disse anbefalinger når at blive endeligt vedtaget inden udkastet til de reviderede standardkontraktbestemmelser.
Læs EDPB's og EDPS' udtalelse om standardkontraktbestemmelserne for tredjelandsoverførsler.
Forbedringer til udkastet til bestemmelserne mellem dataansvarlige og databehandlere inden for EU
For så vidt angår udkastet til standardkontraktbestemmelser mellem dataansvarlige og databehandlere inden for EU, bemærker EDPB og EDPS, at det bør forklares tydeligere, hvornår parterne kan anvende standardkontraktbestemmelserne.
EDPB og EDPS efterspørger desuden en række præciserende tilføjelser, blandt andet til den såkaldte docking-klausul, som giver tredjeparter adgang til at tiltræde standardkontraktbestemmelserne og dermed blive forpligtet som en dataansvarlig eller databehandler.
Derudover bemærker EDPB og EDPS, at bilagene til standardkontraktbestemmelserne bør være tydeligere om parternes respektive forpligtelser i relation til den enkelte behandlingsaktivitet.
Kontakt
