GDPR: Ugyldigheden af EU-US Privacy Shield og afklaring af SCC
6. januar 2021
2 minutters læsetid
EU-US Privacy Shield er af EU-domstolen kendt ugyldig, samtidig har EU-kommissionen sendt en ny udgave af standardkontrakten, SCC i høring.
I sommeren 2020 afsagde EU-domstolen afgørelse i den såkaldte ”Schrems II”-sag.
I afgørelsen blev EU-US Privacy Shield ordningen kendt ugyldig.
Derudover er indgåelse af EU Kommissionens standardkontrakt (SCC) ikke i sig selv tilstrækkeligt grundlag for at overføre personoplysninger til usikre tredjelande. Der skal, ud over standardkontrakten, foretages en audit af dataimportørerne og modtagerlandets beskyttelsesniveau, og eventuelt foretages supplerende foranstaltninger.
EU-US Privacy Shield kan utvivlsomt ikke benyttes som grundlag for overførsler til tredjelande.
Standardkontrakten SCC kan efter omstændighederne fortsat anvendes, men omfanget af ”supplerende foranstaltninger” og den konkrete vurdering for hvert enkelt lands sikkerhed målt i forhold til EU gør den præcise afgrænsning usikker.
EU-Kommissionen har sendt en udkast i høring i perioden 12.11.2020 – 10.12.2020 vedrørende standardkontrakten SCC. Der er med udkastet lagt op til en præcisering af det omfang, hvori SCC skal anses for at være tilstrækkelig databeskyttelse.
Selvom vi ikke kender den endelige version endnu, kan man forsigtigvis håbe på, at der kommer en nærmere afklaring i tidlig 2021.
Det nye udkast til SCC gør ikke fortsat brug af den nuværende SCC ugyldig, og de ældre aftaler kan derfor fortsat anvendes fremadrettet. Imidlertid tager det nye udkast bedre hensyn til Schrems II afgø-relsen, hvorfor det på sigt kan anbefales, at opdatere til den nye version af SCC, når denne bliver endelig.
Datatilsynet har udgivet en FAQ omkring betydningen af Schrems-II sagen, som du kan finde her
I takt med den løbende udvikling kan det været relevant at lave en samlet opsamling, således at flere forhold inddrages i den samme interne kontrol. På denne måde sikres flest mulige punkter for overholdelse af databeskyttelsesreglerne, til det lavest mulige forbrug af ressourcer.
Et eksempel på hvordan flere kontroller kan samordnes, kunne være at sammenlægge gennemgangen af databehandlerliste med kontrollen af overførselsgrund. Det kunne eksempelvist se således ud:
Der findes dog også mange andre måder at føre kontrol og gennemføre compliance på. Ovenståen-de er kun et helt generelt eksempel, og bør altid tilpasses den enkelte organisations forhold.
Du er altid velkommen til at henvende dig til os og få en indledende drøftelse af din sag. Vi har stor erfaring i at analysere situationen og give dig råd om, hvad der er bedst at gøre.
