GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Overfør til et tredje land

Standard kontraktsklausuler

I 2021 vedtok EU-kommisjonen nye standard kontraktsklausuler som selskaper kan bruke som en ekstra beskyttelse ved overføring av personopplysninger til et tredjeland.

Standard kontraktsklausuler vedtatt av EU-kommisjonen

Hvis et selskap bruker standard kontraktsklausuler, trenger de ikke å innhente en spesifikk tillatelse fra den nasjonale databeskyttelsesmyndigheten for overføringen.

Vær imidlertid oppmerksom på at EU-kommisjonen kan oppdatere standard kontraktsklausuler, noe som er viktig å huske på, slik at gamle ugyldige versjoner ikke brukes. 

What breaches of the GDPR can lead to an administrative fine?

Kontrakter med standard kontraktsklausuler

Hvis et selskap inngår en kontrakt med en operatør i et tredjeland, inkludert standard kontraktsklausuler vedtatt av EU-kommisjonen, er overføringer til denne operatøren i det tredjelandet vanligvis tillatt. På den annen side kan det hende at selskapet må ta flere beskyttelsestiltak i visse tilfeller. Det er også viktig å huske på at det ikke er tillatt å endre klausulene, men andre klausuler som er forretningsrelaterte kan legges til. Vær imidlertid oppmerksom på at eventuelle tillegg ikke må være i konflikt med noen av standard kontraktsklausuler. 

Innholdet i standard kontraktsklausuler bestemt av EU-kommisjonen

  • Forpliktelser til selskaper (behandlingsansvarlig / databehandler) som ønsker å overføre personopplysninger til et tredjeland. 
  • Forpliktelser til selskaper (behandlingsansvarlig / databehandler) som mottar personopplysningene. 
  • Regler om de registrertes rettigheter. 
  • Regler for hvordan eventuelle tvister som oppstår som følge av avtalen skal løses.

Standard kontraktsklausuler inneholder bestemmelser som gjelder for ulike typer situasjoner. Strukturen er delt inn i ulike «moduler». Standard kontraktsklausuler består av bestemmelser knyttet til overføring av personopplysninger under følgende fire moduler: 

Modul 1

En behandlingsansvarlig i EU til en annen behandlingsansvarlig i et tredjeland.

Modul 2

En behandlingsansvarlig i EU til en databehandler i et tredjeland.

Modul 3

En prosessor i EU til en annen prosessor i et tredjeland.

Modul 4

En databehandler i EU til en behandlingsansvarlig i et tredjeland.

Når du bruker SCC-ene, er det viktig å bruke de riktige modulene og de riktige bestemmelsene som passer til den spesifikke situasjonen. I tillegg kan det være flere enn to parter som inngår avtalen mellom hverandre.

Inngå en prosessoravtale

Når en aktør behandler personopplysninger på vegne av en behandlingsansvarlig, skjer aktørens behandling av personopplysninger som databehandler. I slike tilfeller skal partene inngå en databehandleravtale med hverandre. I tillegg må avtalen utarbeides skriftlig for å være gyldig i henhold til artikkel 28 i GDPR. 

Partene trenger derimot ikke å inngå en egen databehandleravtale dersom det dreier seg om en overføring til en tredjestat der selskapene har innført ytterligere garantier som omfatter standardkontraktsklausulene. Dette skyldes at de nyeste versjonene av SCC-ene har inkludert bestemmelser fra artikkel 28 GDPR direkte i de relevante modulene i SCC-ene.

EU-kommisjonen har laget et Q & A-dokument om SCC-ene, som inneholder god informasjon.

Mer informasjon om transaksjoner

Sertifiserings- og sertifiseringsmekanismer

Et selskap som er en behandlingsansvarlig eller databehandler kan abonnere på en godkjent atferdskodeks for overføring av personopplysninger. Databeskyttelsesmyndigheter eller European Data Protection Board utarbeider ikke etiske retningslinjer. I stedet er det vanlig at for eksempel organisasjoner som representerer en bestemt bransje, utarbeider en adferdskodeks som kommer både små og større bedrifter til gode. 

Lyst til å lære mer?

Les mer
Skroll til toppen