Hvordan overføre til tredjeland etter EUs standardbestemmelser (Standard Contract Clauses – SCC) nå?

Privacy Shield er dødt og overføring må stanses umiddelbart. Alternativet er EUs standardbestemmelser (Standard Contract Clauses – SCC), men det er krav i Schrems II-dommen for bruk av SCC – se oversikt her.

1. Før inngåelse av SCC og overføring til land utenfor EØS (tredjeland), må personvernet i landet det skal overføres til og selskapet som mottar (databehandler) vurderes.

2. Selskapet bør bidra med informasjon:
– Om selskap i USA er underlagt Section 702 FISA and EO 12333, som vil normalt forhindre overføring.
– Bekrefte at behandlingen skjer etter GDPR + relevante personvernregler, samt SCC og databehandleravtalen.

3. Gjør en konkret vurdering om:
– Gir lovgivningen i landet tilstrekkelig vern for behandlingen tilsvarende som innenfor EØS (her vil selskaper i USA normalt ikke nå opp).
– Forholdene knyttet til overføringen og selskapets etterlevelse av personvernreglene (ut over SCC).

4. Er vurderingen negativ:
– Tiltak som kan iverksettes i tillegg til SCC som får personvernet opp på nivået som gjelder innenfor EØS vurderes. EUs personvernråd (EDPB) kommer med veiledning om slike ekstra tiltak.
– Er ikke ekstra tiltak tilstrekkelig etter en konkret vurdering, kan ikke overføring under SCC gjøres.
– Fortsatt overføring må meldes til Datatilsynet.

5. Dokumentér vurderingen, dvs. skriv ned og bevar.

Oversikt over situasjonen for overføring til tredjeland per i dag:

Få oppdateringer og følg diskusjonen på LinkedIn.