Kompletterande skydd till standardavtalsklausuler

Kompletterande skydd till standardavtalsklausuler är ytterligare former av lämpliga skyddsåtgärder. De är viktiga för att vara förenliga med GDPR med tanke på en nyligen avkunnad dom från EG-domstolen (Schrems II). Lästid: 3 minuter

Vad är kompletterande skydd till Standardavtalsklausuler?

Klausulerna om standardavtal, SCC, är avtal om dataöverföringar från EU/EES med skyldigheter för parterna att säkerställa säkra dataöverföringar. Det finns flera former av lämpliga skyddsåtgärder. Du måste använda dem när du regelbundet överför personuppgifter till ett icke-godkänt land utanför EES. EU-kommissionen kan godkänna lagstiftning utanför EU för att tillhandahålla tillräcklig säkerhet för personuppgifter i form av dess så kallade beslut om adekvat skydd.

Kompletterande skydd är någon annan form av lämplig skydd som du kan använda. Dessa former har blivit särskilt relevanta efter den så kallade Schrems II-domen. I domen avgjorde EG-domstolen den 16 juli 2020 om uppgiftsöverföringar mellan EU och USA och ogiltigförklarade EU-U. S Privacy Shield ram. Domstolen uppgav att alla företag måste kontrollera att mottagarlandets dataskyddslagstiftning säkerställer ett fullgott skydd för de exporterade personuppgifterna. Detta måste göras i varje land där uppgifterna skulle överföras till. Domen innebär följaktligen att det finns ett betydande behov av kompletterande skydd.

Vilka former av kompletterande skydd finns det?

Det finns flera former av kompletterande skydd. Alla är inte användbara för de flesta företag. De mest relevanta är (1) bindande företagsbestämmelser, (2) uppförandekoder, (3) certifieringsmekanismer och (4) avtalsklausuler.

Bindande företagsregler

Bindande företagsregler, eller BCRs, är interna uppförandekoder inom multinationella koncerner. Reglerna gäller för överföring av personuppgifter från ett EU/EES-land till ett land som inte är EU/icke EES. De måste också vara rättsligt bindande för alla medlemmar i gruppen. Tillsynsmyndigheten måste godkänna BCR, som är en komplicerad och tidskrävande process. EDPB har lämnat mer detaljerade riktlinjer.

BCR:s giltighet för överföringar mellan EU och USA påverkas också av domstolens konstaterande att amerikansk lagstiftning inte skyddar personuppgifter i nödvändig omfattning (under vissa omständigheter). Titta på detta utrymme när de europeiska dataskyddsmyndigheterna tillhandahåller uppdaterade riktlinjer kontinuerligt.

Uppförandekod

En uppförandekod är en annan form av skydd. Koden måste uppfylla kraven i artikel 40 GDPR och tillsynsmyndigheten måste godkänna koden. Den måste också innehålla bindande och verkställbara åtaganden för konkursförvaltaren (dvs. den som står utanför EES). Uppförandekoden bör ta upp de särskilda behoven hos dig som personuppgiftsansvarig Det bör i allmänhet omfatta ämnen som pseudonymisering och öppenhet.

Certifieringsmekanism

Godkända certifieringsmekanismer är ett annat sätt att följa GDPR. Den berörda tillsynsmyndigheten godkänner ett certifieringsorgan. Därefter bedömer certifieringsorganet i sin tur en godkänner en organisation. Certifieringen måste innehålla vissa kriterier. Exempel är kriterier om lagligheten i behandlingen och de registrerades rättigheter.

Avtalsklausuler

Avtalsklausuler måste avse en särskild överföring av personuppgifter. Det sändande landets tillsynsmyndighet måste godkänna avtalsklausulerna. Detta alternativ är inte särskilt användbart för allmänna överföringar av personuppgifter. Vissa tillsynsmyndigheter godkänner dock inte några klausuler för närvarande. De väntar i stället tills EDPB ger riktlinjer.

Vissa kompletterande skydd är inte användbart för företag

Det finns några ytterligare alternativ för kompletterande skydd. Tyvärr är de inte så användbara för företagen. Som ett resultat av detta kommer de bara att nämnas kortfattat. Instrument mellan offentliga myndigheter gäller endast offentliga myndigheter. EU-kommissionen skulle också kunna godkänna standardklausuler om uppgiftsskydd som antagits av tillsynsmyndigheter. Tyvärr har detta inte skett ännu. Administrativa arrangemang gäller också endast för offentliga myndigheter.

Sammanfattning

Sammanfattningsvis finns det fyra huvudsakliga sätt för ett företag att komplettera standardavtalsklausuler. Av dessa fyra är bindande företagsbestämmelser, uppförandekoder och certifieringsmekanismer de mest relevanta. Avtalsklausuler är till största delen avsedda för specifika överföringar.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here