Det har sedan en tid tillbaka rådigt oklarhet i på vilket sätt man får överföra personuppgifter och när det är tillåtet att göra detta utanför EU/EES området. I syfte att förenkla och tydliggöra när det är tillåtet att överföra personuppgifter utanför EU/ESS så tog EU fram de så kallade SCC-klausulerna, bestämmelser som tydliggör vad för krav som måste föreligga hos mottagaren av de överförda personuppgifterna och på vilka premisser som överföring utanför EU får ske. SCC – klausulerna har nu uppdaterats och de gamla klausulerna får nu efter den 26 september 2021 inte användas. Befintliga avtal måste uppdateras med de nya bestämmelserna, senast den 27 december 2022.
Ett av syftena med GDPR är att säkerställa en hög skyddsnivå för personuppgiftshantering av alla EU-medborgare, i och med att det utanför EU inte finns några sådana regler som säkerställer en tillräcklig skyddsnivå, så finns det i GDPR bestämmelser om hur och under vilka förutsättningar det är tillåtet att föra över personuppgifter utanför EU/EES. Som utgångspunkt är det inte tillåtet att överföra personuppgifter utanför EU, att tillgängliggöra personuppgifter för någon part som befinner sig utanför EU/EES utgör en ”överföring”. En överföring sker alltså när ni som företag har en molntjänst som är baserad utanför EU, när ni nyttjar en supporttjänst som har hemvist i tredjeland eller när ni lagrar/hostar på en server utanför EU. Det finns undantag från denna regel, under vissa förutsättningar är det tillåtet att föra över personuppgifter. Ett av dessa undantag är om man använder sig av dessa så kallade SCC-klausulerna. I och med Schrems II-domen från juli 2020, har dessa behövts uppdateras, därför presenterade EU-kommissionen en moderniserad version av SCC-klausulerna den 4 juni 2021.
Vad detta i praktiken innebär för företag är att personuppgiftsansvariga och personuppgiftsbiträden behöver uppdatera alla sina befintliga avtal med de nya SCC-klausulerna, senast den 27 december 2022. Nya avtal som upprättas ska innehålla de nya SCC-klausulerna.
När man använder de nya SCC-klausulerna behöver man göra ett antal val, bland annat vilken modul man ska använda, vidare behöver man även göra en individuell bedömning i huruvida landet man för över personuppgifter till väsentligen har likvärdig skyddsnivå som inom EU/EES samt så behöver man utreda om skyddet för personuppgifter i det enskilda fallet uppgår till en tillräckligt hög nivå. Detta innebär att man måste utvärdera överföringen av personuppgifter i stort, innefattat att man måste besvara på frågor som vad är det för personuppgifter som överförs? I vilket syfte sker överföringen? Samt kommer man kunna kontrollera skyddet i mottagarlandet? Det är viktigt att man i detta arbete kommer ihåg ansvarighetsprincipen som finns i GDPR, innefattat ett krav på att dokumentera bedömningar nämnda ovan.
Vi på Freja Partner kan hjälpa er i vilken modul av SCC-klausulerna som passar just er affär, bistå med olika bedömningar och utredningar som behövs göras samt hjälpa er dokumentera besluten.
Författat av
Madhusha Silva, jurist Freja Partner