OVERFØRSEL TIL ET TREDJELAND

Standardkontraktbestemmelser i GDPR

I 2021 vedtog Europa-Kommissionen nye standardkontraktbestemmelser, som virksomheder kan anvende som en yderligere sikkerhedsforanstaltning, når de overfører personoplysninger til et tredjeland.

Standardkontraktbestemmelser vedtaget af Europa-Kommissionen

Hvis en virksomhed anvender standardkontraktbestemmelser, behøver den ikke at indhente en særlig godkendelse fra den nationale databeskyttelsesmyndighed til overførslen.

Bemærk dog, at Europa-Kommissionen kan ajourføre standardkontraktbestemmelserne, hvilket er vigtigt at huske på, så gamle ugyldige udgaver ikke anvendes.

Kontrakter med standardkontraktbestemmelser

Hvis en virksomhed indgår en kontrakt med en operatør i et tredjeland, herunder standardkontraktbestemmelser vedtaget af Europa-Kommissionen, er overførsler til den pågældende operatør i det pågældende tredjeland normalt tilladt. På den anden side kan virksomheden i visse tilfælde være nødt til at træffe mere beskyttende foranstaltninger. Det er også vigtigt at huske på, at det ikke er tilladt at ændre klausulerne, men at der kan tilføjes andre forretningsrelaterede klausuler. Bemærk dog, at eventuelle tilføjelser ikke må være i strid med nogen af standardkontraktbestemmelserne.

Indholdet af standardkontraktbestemmelser vedtaget af Europa-Kommissionen

Forpligtelser for virksomheder (dataansvarlig/databehandler), der ønsker at overføre personoplysninger til et tredjeland.
Forpligtelser for virksomheder (dataansvarlig/databehandler), der modtager personoplysninger.
Regler om registreredes rettigheder.
Regler for bilæggelse af tvister, der måtte opstå som følge af aftalen.

Standardkontraktbestemmelserne indeholder bestemmelser, der gælder for forskellige typer situationer. Strukturen er opdelt i forskellige “moduler”. Standardkontraktbestemmelserne består af bestemmelser, der er knyttet til overførsler af personoplysninger under følgende fire moduler:

Modul 1

En dataansvarlig i EU til en anden dataansvarlig i et tredjeland.

Modul 2

En dataansvarlig i EU til en databehandler i et tredjeland.

Modul 3

En databehandler i EU til en anden databehandler i et tredjeland.

Modul 4

En databehandler i EU til en dataansvarlig i et tredjeland.

Når standardkontraktbestemmelserne anvendes, er det vigtigt at anvende de rette moduler og rette bestemmelser, der passer til den specifikke situation. Desuden kan der være mere end to parter, der indgår aftalen indbyrdes.

Læs de seneste udgaver af de standardkontraktbestemmelser, som Europa-Kommissionen vedtog i 2021.

Indgå en databehandleraftale

Når en aktør behandler personoplysninger på vegne af en dataansvarlig, finder aktørens behandling af personoplysninger sted som databehandler. I sådanne tilfælde indgår parterne en databehandleraftale med hinanden. Denne aftale skal desuden være indgået skriftligt for at være gyldig i henhold til databeskyttelsesforordningens artikel 28.

På den anden side behøver parterne ikke at indgå en særskilt databehandleraftale, hvis den vedrører en overførsel til et tredjeland, hvor virksomhederne har indført yderligere garantier, der omfatter standardkontraktbestemmelserne. Dette skyldes, at de seneste versioner af standardkontraktbestemmelserne har medtaget bestemmelser fra artikel 28 i GDPR direkte i de relevante moduler i standardkontraktbestemmelserne.

Europa-Kommissionen har udarbejdet et Q & A-dokument om standardkontraktbestemmelserne, som indeholder gode oplysninger.

FLERE OPLYSNINGER OM OVERSÆTTELSER AF HANDELSDOKUMENTER

Adfærdskodekser eller certificeringsmekanismer

En virksomhed, der er dataansvarlig eller databehandler, kan tilslutte sig en godkendt adfærdskodeks for overførsel af personoplysninger. Databeskyttelsesmyndighederne eller Det Europæiske Databeskyttelsesråd udarbejder ikke adfærdskodekser. I stedet er det f.eks. almindeligt, at organisationer, der repræsenterer en bestemt industri, udarbejder en adfærdskodeks, som er til gavn for både små og større virksomheder.