Tillbaka till huvudmeny

Tredjelandsöverföring med nya standardavtalsklausuler

EU-kommissionen har fattat beslut om standardavtalsklausuler för överföring av personuppgifter till tredjeland. En personuppgiftsansvarig eller ett personuppgiftsbiträde får använda klausulerna för att genom avtal säkerställa lämpliga skyddsåtgärder i samband med tredjelandsöverföring.

Kvinna ser över avtal

Enligt GDPR är det nödvändigt att säkerställa att den nivå av skydd som fysiska personer garanteras genom GDPR inte undergrävs när personuppgifter överförs till tredjeländer, inklusive vidare överföring från ett tredjeland till ett annat tredjeland. 

Om det inte finns ett beslut om adekvat skyddsnivå för det landet får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder. 

Läs också: Så förvaltar ni ert dataskyddsarbete över tid

Vad är en lämplig skyddsåtgärd enligt GDPR?

En lämplig skyddsåtgärd är exempelvis standardiserade dataskyddsbestämmelser som antas av kommissionen, det framgår av artikel 46.2 c i GDPR. De standardavtalsklausuler som kommissionen nu har beslutat om utgör sådana bestämmelser. Om den personuppgiftsansvarige organisationen använder dessa behövs inget tillstånd från en tillsynsmyndighet.

Det finns standardavtalsklausuler som är anpassade för överföring i fyra olika situationer:

  1. från en personuppgiftsansvarig till en annan personuppgiftsansvarig
  2. från en personuppgiftsansvarig till ett personuppgiftsbiträde
  3. från ett personuppgiftsbiträde till ett annat personuppgiftsbiträde
  4. från ett personuppgiftsbiträde till en personuppgiftsansvarig

Parterna kan införa dessa standardavtalsklausuler i ett mer övergripande avtal eller teckna ett separat överföringsavtal med dessa klausuler som mall. 

Det går också bra att lägga till andra bestämmelser eller ytterligare skyddsåtgärder. Men det måste göras under förutsättning att tilläggen inte står i strid med standardavtalsklausulerna eller påverkar de registrerades grundläggande rättigheter eller friheter.

Wordmallar som gör arbetet ännu enklare

Även om de nya klausulerna ska förenkla arbetet så upplever många att de är svåra att förstå, och att det kommer bli en utmaning att använda dem i praktiken. Därför har vi på Visma Draftit tagit fram Wordmallar som hjälper er att få bättre grepp om de olika standardavtalen. Mallarna finns tillgängliga på både svenska och engelska. 

Video: Se hur Privacy Expert fungerar

Standardavtalen är ingen universallösning vid överföring till tredjeland

Observera att man fortfarande behöver göra en bedömning i det enskilda fallet för att avgöra om en tredjelandsöverföring är möjlig, och om standardavtalsklausulerna är tillräckliga. De nya klausulerna är ingen universallösning och innebär inte att man kan bortse ifrån exempelvis Schrems II-domen. 

Istället måste parterna även fortsatt ta hänsyn till de särskilda omständigheterna kring överföringen och relevanta lagar och förfaranden i det mottagande tredjelandet. 

Det kan fortfarande vara aktuellt att införa extra, kompletterande skyddsåtgärder för att komplettera de som ingår i standardavtalsklausulerna. Personuppgiftsansvariga och personuppgiftsbiträden uppmuntras att tillhandahålla ytterligare skyddsåtgärder genom avtalsenliga åtaganden som kompletterar standardavtalsklausulerna.

Äldre former av standardavtalsklausuler behöver ersättas

Det finns även äldre beslut från kommissionen som innehåller standardavtalsklausuler för överföring till tredjeland. Besluten 2001/497/EG (PuA till PuA) och 2010/87/EU (PuA till PuB) upphör att gälla den 27 september 2021. Då får man inte längre stödja sig på dessa avtalsmallar utan ska istället använda de nya.

Avtal som ingåtts med stöd av de äldre besluten ska dock anses garantera lämpliga skyddsåtgärder fram till den 27 december 2022 – under förutsättning att de behandlingar som är föremål för avtalet förblir oförändrade och att användningen av dessa klausuler säkerställer att överföringen av personuppgifter omfattas av lämpliga skyddsåtgärder. 

Men alla befintliga avtal som stödjer sig på de äldre besluten behöver alltså göras om allra senast i december nästa år.

Din guide för överföring till tredjeland

Med Schrems II-domen blev det tydligt att reglerna för överföring till tredjeland kräver åtgärder hos många verksamheter. Vi har samlat det viktigaste frågorna med svar från våra experter i ett faktablad.

Ladda ner

Mest populära