Nya Standardavtalsklausuer från EU – omfattande Vägledning

Guide till nya SCC
Guide till nya SCC

EU-kommissionen har, i efterdyningarna av Schrems II-domen, godkänt en ny uppsättning standardavtalsklausuler (SCC) med skyddsåtgärder för att tillåta internationella överföringar. Organisations that have international supply chains and/or wishes to leverage offshore resources must adopt the new SCCs and perform Transfer Impact Assessments. Organisationer som har internationella leverantörer och/eller vill utnyttja offshore-resurser måste anta de nya SCC:erna och utföra bedömningar vid överföring av personuppgifter till tredje land. Den här artikeln kommer att förklara de nya standardavtalsklausulerna och vägleda dig om hur du kan använda dem. Lästid: 10 minuter

Sammanfattning av de nya SCCs

Bakgrund: Strikta krav krävs för överföringar till tredje land.

För att använda leverantörer eller dela personuppgifter inom en koncern till verksamhet utanför EU/EES måste särskilda krav i GDPR uppfyllas. Om mottagarlandet inte har “en adekvat nivå” av dataskydd jämfört med GDPR, är Europeiska kommissionens standardavtalsklausuler (SCCs) den vanligaste mekanismen att använda. Användningen av standardavtalsklausulerna har blivit mer komplex på grund av Schrems II-domen som tydliggjorde krav för internationella överföringar och införde nya skyldigheter för de som exporterar och importerar data. Schrems II-domen ogiltigförklarade Privacy Shield som avsåg överföringar av personuppgifter mellan EU och USA. Domen berörde även skyldigheter för den som exporterar data när de använder leverantörer utanför EU eller överföringar inom en koncern till eller från ett land utanför EU. Den nya domen, i kombination med de ålderstigna tidigare standardavtalsklausulerna, har skapat behovet av en uppdaterad SCC-mekanism.

Utvecklingen: Nya standardavtalsklausuler kan ta itu med utmaningarna i Schrems II-domen

Den 4 juni introducerade Europeiska kommissionen den nya uppsättningen standardavtalsklausuler (SCCs) för att ersätta de gamla modellavtalen från 2010 (antagna under GDPR: s föregångare EU-direktivet 95/46 / EG). De nya standardavtalsklausulerna har ett modulärt tillvägagångssätt och täcker fler situationer än de gamla klausulerna. Ett starkare skydd för personuppgifter införs, nya skyldigheter för parterna att bedöma lagligheten i den planerade överföringen och ökad transparens gentemot kunder och enskilda.

Praktiska konsekvenser: Användning av de nya standardavtalsklausulerna tillsammans med riskbedömningar vid överföringar till tredje land kan möjliggöra internationella överföringar

Organisationer som har internationella leveranskedjor och/eller vill utnyttja offshore-resurser måste anta de nya standardavtalsklausulerna och utföra konsekvensbedömningar för varje överföring. De nya standardavtalsklausulerna innehåller delar av Schrems II-beslutet som kräver att den personuppgiftsansvarige ska göra en bedömning av mottagarländernas lagstiftning och om importören kan uppfylla kraven i GDPR. De nya standardavtalsklausulerna innehåller delar av Schrems II-beslutet som kräver att den personuppgiftsansvarige ska göra en bedömning av mottagarländernas lagstiftning och om importören kan uppfylla kraven i GDPR. Efter den 1 september 2021 är det inte längre möjligt att använda de gamla standardavtalsklausulerna, utan de nya standardavtalsklausulerna måste användas.

Relevant lagstiftning vid internationella överföringar

Vid överföring av uppgifter utanför EU/EES gäller GDPR kapitel V. I enlighet med artikel 44 GDPR måste en överföring bestämmelserna i kapitlet för att säkerställa att en likvärdig skyddsnivå som den som garanteras av GDPR.

Advertisement

Behöver du affärsjuridiskt stöd?

Läs mer om den affärsjuridiska byrån Sharp Cookie Advisors


Du kan göra en överföring baserat på olika mekanismer. Du kan använda ett beslut om adekvat skyddsnivå (artikel 45 GDPR) eller använda lämpliga skyddsåtgärder (artikel 46 GDPR). Det finns också möjlighet till undantag för särskilda situationer (artikel 49 GDPR). Lämpliga skyddsåtgärder omfattar flera mekanismer, såsom bindande företagsregler (artikel 47 GDPR), godkända uppförandekoder (artikel 40 GDPR) eller standardavtalsklausuler (artikel 93 GDPR).

För överföringar till USA, till exempel, innebär Schrems II-domen att lämpliga skyddsåtgärder och standardavtalsklausulerna är särskilt viktiga.

Standardavtalsklausulerna är en uppsättning standardavtalsklausuler om dataskydd som Europeiska kommissionen har utarbetat. De standardavtalsklausuler som tidigare användes togs fram år 2010. De nya standardavtalsklausulerna ersätter de gamla.

Huvudsakliga skillnader mellan de gamla och de nya standardavtalsklausulerna

En av nyheterna för de nya standardavtalsklausulerna är att de använder en riskbaserad metod för internationella överföringar. Detta innebär att importörer av data, i vissa fall, kan väga in de faktiska riskerna för att offentliga myndigheter får tillgång till data.

Den första uppsättningen standardavtalsklausuler gäller för internationella överföringar. De är till för så kallade “dataexportörer” och “dataimportörer”. Dataexportörer är de som överför data, och dataimportörer är de som tar emot data. De är indelade i fyra sektioner.

  • Avsnitt I. Allmänna inledande bestämmelser och dockningsmekanismer. Detta inbegriper syftet med standardavtalsklausulerna, deras oföränderlighet, tredjepartsmottagare och deras tolkning.
  • Avsnitt II. Parternas skyldigheter. Avsnittet innehåller nödvändiga dataskyddsåtgärder, reglerar underbiträden samt ansvar och tillsyn.
  • Avsnitt III. Lokala lagar och tillgång för offentliga myndigheter. I synnerhet regleras lokala lagar och praxis som påverkar standardavtalsklausulerna och parternas skyldigheter i händelse av begäran om åtkomst från offentliga myndigheter.
  • Avsnitt IV. Bristande efterlevnad, uppsägning och gällande lag. Detta förklarar vad som händer om parterna inte följer standardavtalsklausulerna och klargör också valet av forum och jurisdiktion.

Även om du kan lita på de gamla standardavtalsklausulerna för internationella överföringar för tillfället, finns det fortfarande arbete att göra. Du måste utvärdera dina nuvarande leveranskedjor och se till att alla underleverantörer har uppdaterade kontrakt. Under tiden bör du börja bedöma påverkan av nationell lagstiftning för din personuppgiftsbehandling. För att hjälpa till med detta bör du kartlägga dina överföringar. Det bör också vara till hjälp att redan nu bygga in vissa skyldigheter, såsom transparens och de registrerades rättigheter, i din process.

Modulärt tillvägagångssätt

De nya standardavtalsklausulerna har fyra olika moduler som är partberoende.

  1. Modul ett: personuppgiftsansvarig – personuppgiftsansvarig.
  2. Modul två: personuppgiftsansvarig – personuppgiftsbiträde
  3. Modul tre: personuppgiftsbiträde – personuppgiftsbiträde
  4. Modul fyra: personuppiftsbiträde – personuppgiftsansvarig

Syftet med det modulära tillvägagångssättet är att tillgodose skillnaderna i olika överföringsscenarier. Det gör det också möjligt för fler än två parter att ansluta sig till standardavtalsklausulerna.

De nya standardavtalsklausulerna omfattar även överföringar mellan personuppgiftsbiträden. Det var inte fallet tidigare. Detsamma gäller för överföringar från ett personuppgiftsbiträde ibom EU till en personuppgiftsansvarig utanför EU. Vilket nu är löst med modulerna tre och fyra.

För vissa moduler behövs inte heller något separat biträdesavtal. Det gäller för överföringar mellan personuppgiftsansvarig – personuppgiftsbiträde och personuppgiftsbiträde – personuppgiftsbiträde (modulerna två och tre). Det är ytterligare en skillnad från de tidigare standardavtalsklausulerna, som inte följde kraven i artikel 28 i GDPR.

Stärkta rättigheter för registrerade

Klausul 3 ger registrerade rätt att åberopa vissa av klausulerna i standardavtalsklausulerna mot exportörer och/eller importörer. Dessutom anger klausul 10 parternas skyldigheter när det gäller de registrerades rättigheter. För modul ett, ska importören hantera begäran från registrerade och tillhandahålla relevant information. För modulerna två och tre ska importören istället underrätta exportören och hjälpa till att fullgöra sina skyldigheter. Slutligen, för modul fyra, ska båda parterna bistå och hjälpa varandra.

Dessutom måste importören förse de registrerade med en kontaktpunkt som myndigheterna kan använda för att hantera klagomål, vilket framgår av klausul 11 i dokumentet. Parterna måste också hålla varandra informerade och samarbeta för att lösa problemen. Om en registrerad väcker talan mot parterna kan de göra det där de har sin vanliga vistelseort.

Kan användas när flera parter är involverade

Det är möjligt att inkludera de nya standardavtalsklausulerna som en del av ett kontrakt enligt klausul 2. Detta innebär att du kan lägga till standardavtalsklausulerna i dina egna kontrakt som reglerar mer än bara dataskydd. Dessutom kan du lägga till ytterligare klausuler och/eller skyddsåtgärder till standardavtalsklausulerna. De får dock inte stå i strd med standardavtalsklausulerna eller de registrerades grundläggande rättigheter.

Dessutom finns det en valfri dockningsklausul i klausul 7 som du kan använda. Denna klausul gör det möjligt för tredje part att ansluta sig till standardavtalsklausulerna, vilket ger flexibilitet och användbarhet.

Användning av exportörer utanför EU

De nya standardavtalsklausulerna omfattar fyra typer av överföringar (personuppgiftsansvarig – personuppgiftsansvarig, personuppgiftsansvarig – personuppgiftsbiträde, personuppgiftsbiträde – personuppgiftsbiträde och personuppgiftsbiträde – personuppgiftsansvarig. Dessa fyra typer av överföringar omfattar fall där exportören inte är etablerad i EU/EES. För att kunna använda standardavtalsklausulerna när exportören inte befinner sig i EU/EES måste de dock omfattas av artikel 3.2 i GDPR.

När träder de nya standardavtalen i kraft?

De nya standardavtalsklausulerna träder i kraft den 27 juni 2021 (i enlighet med artikel 4). Det betyder att de är tillgängliga att använda från och med det datumet. Du kan dock fortfarande implementera de gamla standardavtalsklausulerna fram till den 27 september 2021.

Efter den 27 september 2021 kan du inte implementera de gamla standardavtalsklausulerna. Du kan fortsätta att förlita dig på de gamla standardavtalsklausulerna fram till den 22 december 2022, så länge behandlingen förblir oförändrad och lämpliga skyddsåtgärder används. Under denna övergångsperiod är det viktigt att företagen ser till att hela deras leveranskedja överensstämmer med de nya standardavtalsklausulerna.

För att kunna använda de nya standardavtalsklausulerna måste det finnas två parter som utför internationella överföringar enligt klausul 1. Du kan inte använda standardavtalsklausulerna när GDPR är tillämplig enligt skäl 7 GDPR. Detta kan verka enkelt men till följd av GDPR:s breda tillämpningsområde finns också vissa svårigheter.

Konsekvensbedömning av överföringar krävs fortfarande enligt de nya standardavtalsklausulerna

I Schrems II-beslutet påtalade EU-domstolen vikten av att genomföra och dokumentera en konsekvensbedömning vid överföringar av personuppgifter till tredje land. Bedömningen kan omfatta utvärdering av risken för begäran om tillgång från myndigheter och stat, adekvat skydd och lokala regler och lagar. En sådan bedömning ska på begäran göras tillgänglig för den behöriga tillsynsmyndigheten. Denna skyldighet gäller fortfarande enligt de nya standardavtalsklausulerna. De nya standardavtalsklausulerna ger viss vägledning för vad TIA måste innehålla, se särskilt avsnitt III.

Den behöriga tillsynsmyndighetens verkställande funktion

För modulerna ett, två och tre anges i klausul 13 vilken tillsynsmyndighet som är ansvarig och behörig. Om exportören är etablerad i EU är den tillsynsmyndighet som valts i bilaga I.C den behöriga myndigheten. När exportören inte är etablerad inom EU men omfattas av GDPRs territoriella tillämpningsområde finns det två alternativ. Om en företrädare har utsetts är tillsynsmyndigheten i den EU-medlemsstat där exportören är lokaliserad behörig. Om en företrädare inte har utsetts är tillsynsmyndigheten i den registrerades EU-medlemsstat behörig.

Importören ska besvara alla förfrågningar och revisioner från de behöriga myndigheterna, vilket framgår av skäl 13 GDPR. I allmänhet gäller nationella lagar i en EU-medlemsstat enligt klausul 17, vilket oftast är lagen i den EU-medlemsstat där exportören är etablerad. För modul ett finns det också möjlighet att välja en EU-medlemsstat.

De registrerade kan då lämna in ett klagomål till den valda tillsynsmyndigheten om om de vill åberopa sina rättigheter. Parterna måste underkasta sig myndigheternas jurisdiktion och samarbeta med dem.

Nya skyldigheter i de nya standardavtalsklausulerna?

I de nya standardavtalsklausulerna stadgas vissa skyldigheter för parterna. I vissa klausuler skiljer sig de exakta skyldigheterna från modul till modul.

I allmänhet måste du se till att det finns en adekvat skyddsnivå. Detta anges tydligt i skäl 7, vilket inkluderar att ta hänsyn till de särskilda omständigheterna vid överföringar till tredje land. Ytterligare en aspekt att beakta är lagar och praxis i mottagarlandet.

Du måste vidta särskilda åtgärder när det behövs för att säkerställa skyddet av uppgifterna enligt klausul 15 och skälen 16, 18 och 20. Om importören befarar att de inte lever upp till standarden måste han eller hon meddela exportören.

Det måste göras så att dataskyddsåtgärder kan vidtas .

Klausul 8 har flera undergrupper som är beroende av vilken modul du använder. Alla undergrupper kommer att listas och förklaras kortfattat i det följande.

  • Instruktioner (moduler två, tre och fyra). Du får endast behandla uppgifter enligt dokumenterade instruktioner.
  • Ändamålsbegränsning (modulerna ett, två och tre). Data kan endast hållas för de specifika ändamål som anges.
  • Behandlingstid och radering eller återlämnande av uppgifter (modulerna två och tre). Behandling får endast ske under den angivna lagrinngrperiden.
  • Säkerhet för behandling (alla moduler). Du måste använda lämpliga skyddsåtgärder för att skydda uppgifterna.
  • Känsliga personuppgifter (modulerna ett, två och tre). Överföring av känsliga uppgifter kräver särskilda begränsningar och/eller ytterligare skyddsåtgärder.
  • Dokumentation och efterlevnad (alla moduler). Du måste kunna visa överensstämmelse med standardavtalsklausulerna och dokumentera det. Dokumentationen ska vara tillgänglig för tillsynsmyndigheter och den andra parten.
  • Transparens (modulerna ett, två och tre). Du måste lämna ut viss information till registrerade för att säkerställa deras rättigheter.
  • Noggrannhet (modulerna två och tre). Uppgifterna måste vara korrekta och uppdaterade.
  • Begränsad lagring (modul ett). Du får inte lagra personuppgifter längre än nödvändigt.
  • Vidareöverföringar (modulerna ett, två och tre). Vidareöverföring till tredje part är endast möjlig om parten ingår avtalet. Alternativt kan exportören uttryckligen instruera parten att göra det. Det finns också en lista över undantag som gäller under vissa förutsättningar.
  • Behandling inom exportörens befogenhet (modul ett). En person som agerar åt en annan part får endast behandla uppgifter enligt givna instruktioner.

Det finns särskilda regler för hantering av begäranden om utlämnande av uppgifter från nationella myndigheter

När importören tar emot en begäran om utlämnande ska han eller hon underrätta exportören om detta. Detsamma gäller för andra myndigheter som har direkt tillgång till uppgifter. De måste tillhandahålla ytterligare information, såsom den begärande myndigheten och grunden för begäran.

Importören måste också granska om begäran är laglig. Om det är rimligt att göra det måste begäran bestridas, och importören ska söka möjligheter att överklaga. Utöver detta måste de ansöka om interimistiska åtgärder. Utlämnande av uppgifter kan inte göras förrän det faktiskt begärs. Om uppgifter lämnas ut ska endast det de uppgifter som krävs lämnas ut.

Ansvar

Klausul 12 reglerar parternas ansvar. Vid överföring till en personuppgiftsansvarig är varje part ansvarig gentemot den registrerade. Detta är situationen i modulerna ett och fyra. Om mer än en part är ansvarig kan de vara solidariskt ansvariga. Vid överföring till ett personuppgiftsbiträde är importören ansvarig. Trots detta är exportören ansvarig för eventuella överträdelser av standardavtalsklausulerna.

Oavsett är varje part ansvarig gentemot den andra för eventuella skador som orsakas av brott mot standardavtalsklausulerna. Parterna kan komma överens om att den ena parten är ansvarig ochatt det ska vara möjligt att kräva tillbaka sin del av ersättningen.

Bristande efterlevnad och avslutande av standardavtalsklausulerna

Om importören bryter mot standardavtalsklausulerna måste du avbryta överföringar till tredje land som baserar på klausulerna enligt klausul 16. Om efterlevnaden inte återställs inom rimlig tid har exportören rätt att säga upp avtalet. En rimlig tid får inte vara längre än en månad. Detsamma gäller även om överträdelserna är väsentliga eller ihållande. Det är också tillämplig om importören inte följer ett beslut om sina skyldigheter enligt standardavtalsklausulerna. Slutligen är det också möjligt att upphäva avtalet om EU antar ett beslut om adekvat skyddsnivå.

Om avtalet sägs upp måste importören returnera uppgifterna eller radera dem. Data kan endast behållas om det krävs enligt nationell lagstiftning.

Underleverantörer och bilagor till standardavtalsklausulerna

Det finns, för modulerna två och tre, två alternativ för att tillåta underleverantörer i klausul 9.

Det första alternativet är att använda ett på förhand “särskilt godkännande”. Detta innebär att importören måste ansöka om särskilt tillstånd en viss tidsperiod innan uppdraget. De godkända underleverantörerna skall förtecknas i bilaga III.

Det andra alternativet är att ha ett allmänt samtycke. Importören måste informera exportören om att han eller hon har för avsikt att använda underleverantören. Om exportören inte invänder inom en viss tidsperiod får importören fortsätta.

Oavsett vilket alternativ du använder måste underleverantörerna ha ett kontrakt som säkerställer samma skyddsnivå som standardavtalsklausulerna. Dessutom ligger ansvaret fortfarande hos importören.

Bilagorna till standardavtalsklausulerna innehåller några olika bestämmelser. Bilaga I.A innehåller en tydlig förteckning över parter, med kontaktuppgifter och liknande information. Bilaga I.B innehåller en beskrivning av behandlingen, inklusive den kategori av uppgifter som överförts och syftet med behandlingen. I bilaga I.C anges slutligen den behöriga tillsynsmyndigheten.

I bilaga II måste du ange tekniska och organisatoriska åtgärder som tillämpas för att garantera säkerheten. Exempel på åtgärder finns i bilagan. Säkerhetsåtgärderna måste anges specifikt och tydligt.

I bilaga III anges godkända underleverantörer om “särskilt godkännande” tillämpas..

Införande av nya avtalsklausuler för databehandlingsavtal inom EU/EES

Europeiska kommissionen har också antagit en uppsättning avtalsklausuler för personuppgiftsansvarig EU/EES. Dessa standardavtalsklausuler gäller de bestämmelser som är nödvändiga för ett personuppgiftsbehandling enligt artikel 28 GDPR (inte att förväxla med de SCC som gäller för överföringar utanför EU).

Tillämplighet och tidsgräns

De nya standardavtalsklausulerna är tillämpliga när en part är personuppgiftsansvarig och den andra parten är personuppgiftsbiträde. Det måste avse behandling inom EU. De nya standardavtalsklausulerna träder i kraft den 27 juni 2021.

Inkludering i större kontrakt och dockningsklausul

Liksom standardavtalsklausulerna för internationella överföringar kan de EU-interna standardavtalsklausulerna ingå i bredare avtal. Detta får inte leda till att standardavtalsklausulerna eller de registrerades rättigheter skadas. Standardavtalsklausulerna och tilläggsklausulerna måste tolkas mot bakgrund av GDPR. I händelse av en konflikt mellan standardavtalsklausulerna och relaterade avtal har standardavtalsklausulerna företräde enligt klausul 4. Det finns också möjlighet till en dockningsklausul.

Vad du måste göra enligt de nya avtalsklausulerna

Liksom med standardavtalsklausulerna för internationella överföringar ålägger avtalsklausulerna parterna vissa skyldigheter.

Parternas skyldigheter

Klausul 7 har flera undergrupper som definierar de skyldigheter som fastslå genom standardavtalsklausulerna. De listas och förklaras kort nedan.

  • Instruktioner. Du får endast behandla uppgifter enligt dokumenterade instruktioner.
  • Ändamålsbegränsning. Uppgifter kan endast hanteras för de specifika ändamål som anges.
  • Lagringstid och radering eller återlämnande av uppgifter. Behandling av uppgifterna kan endast ske under den angivna tiden.
  • Säkerhet vid bearbetning. Du måste använda lämpliga skyddsåtgärder för att skydda uppgifterna.
  • Känsliga uppgifter. Överföring av känsliga uppgifter kräver särskilda begränsningar och/eller ytterligare skyddsåtgärder.
  • Dokumentation och efterlevnad. Du måste kunna att du följer standardavtalsklausulerna och det behöver finnas dokumenterat. Dokumentationen ska vara tillgänglig för tillsynsmyndigheter och den andra parten.

Dessutom kan alla internationella överföringar endast göras på grundval av dokumenterade instruktioner. Överföringar måste följa GDPR kapitel V. Dessutom, om användning av en underleverantör leder till en överföring av uppgifter till tredje land, måste underleverantören vara bundna av standardavtalsklausuler.

Personuppgiftsincidenter

Om en personuppgiftsincident inträffar ska personuppgiftsbiträdet bistå den personuppgiftsansvarige enligt klausul 9. Sådant bistånd kan vara att underrätta den personuppgiftsansvarig om överträdelsen, inbegripet dess art, konsekvenser och åtgärder som vidtagits för att hantera överträdelsen. Det skulle också kunna vara att hjälpa till att underrätta behöriga myndigheter och få relevant information.

Hjälp med de registrerade

Vid mottagande av begäran från registrerade ska personuppgiftsbiträdet meddela den personuppgiftsansvarige. De får endast svara på en sådan begäran om de har tillstånd att göra det. Dessutom ska de bistå den personuppgiftsansvarige i dennes skyldigheter gentemot den registrerade. Det gäller även för konsekvensbedömningar avseende dataskydd och samråd med tillsynsmyndigheter.

Användning av underleverantörer

Användningen av underbiträden regleras i klausul 7.7. Där finns två alternativ. Det första alternativet är att använda ett särskilt förhandstillstånd. Detta innebär att personuppgiftsbiträdet måste ansöka om särskilt tillstånd, vilket måste ske en viss tidsperiod innan uppdraget. De godkända underleverantörerna skall förtecknas i bilaga IV.

Det andra alternativet är att ha ett allmänt samtycke. Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om att han eller hon avser att använda underleverantören. Om den personuppgiftsansvarig inte invänder inom en viss tidsperiod kan personuppgiftsbiträdet fortsätta.

Oavsett vilket alternativ du använder måste underprocessorerna ha ett kontrakt som säkerställer samma skyddsnivå som standardavtalsklausulerna. Ansvaret ligger dock fortfarande hos personuppgiftsbiträdet. Kontraktet måste också ha en klausul om uppgifter delas med tredje part. En sådan klausul måste ge den personuppgiftsansvarige rätt att säga upp avtalet om personuppgiftsbiträdet faktiskt försvinner.

Slutligen har den personuppgiftsansvarige rätt till en kopia av personuppgiftsbiträdets avtal med sin underleverantör. Affärshemligheter och annan konfidentiell information kan maskeras.

Bristande efterlevnad och uppsägning av avtalsklausulerna

Om personuppgiftsbiträdet bryter mot standardavtalsklausulerna kan den personuppgiftsansvarige avbryta överföringarna enligt klausul 10.

Om efterlevnaden inte återställs inom rimlig tid har exportören rätt att säga upp avtalet. En rimlig tid får inte vara längre än en månad. Detsamma gäller även om överträdelserna är väsentliga eller ihållande. Den är också tillämplig om importören inte uppfyller sina skyldigheter enligt standardavtalsklausulerna.

Uppsägning av kontraktet innebär retur eller radering av data. Undantaget är när du måste behålla information på grund av rättsliga förpliktelser.

Bilagor till standardavtalsklausulerna

Bilaga I till standardavtalsklausulerna innehåller en förteckning över parter. Detta inkluderar deras kontaktuppgifter, signatur och anslutningsdatum.

I bilaga II beskriver du behandlingen i detalj. Detta inkluderar till exempel behandlingens art och syfte. För känsliga uppgifter anges även särskilda begränsningar och skyddsåtgärder.

Du måste också beskriva tekniska och organisatoriska åtgärder i bilaga III. Du måste göra detta konkret. Bilaga III innehåller också en förteckning över exempel på möjliga åtgärder.

Bilaga IV innehåller slutligen en förteckning över underleverantörer och används endast vid särskilt godkännande för underleverantörer.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here