Databeskyttelsesrådet og Den Europæiske Tilsynsførende vedtager fælles udtalelser om nye sæt standardkontraktbestemmelser

15 January 2021 EDPB

Bruxelles, den 15. januar — Databeskyttelsesrådet og Den Europæiske Tilsynsførende har vedtaget fælles udtalelser om to sæt kontraktbestemmelser. Én udtalelse om standardkontraktbestemmelser for kontrakter mellem dataansvarlige og databehandlere og én om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande.

Standardkontraktbestemmelserne for dataansvarlige og databehandlere vil gælde i hele EU og har til formål at sikre fuld harmonisering og retssikkerhed på tværs af EU, når det kommer til kontrakter mellem dataansvarlige og deres databehandlere.

Andrea Jelinek, formand for Databeskyttelsesrådet, udtaler: "Databeskyttelsesrådet og Den Europæiske Tilsynsførende hilser standardkontraktbestemmelserne for dataansvarlige og databehandlere velkommen som et enkelt, stærkt og EU-dækkende ansvarlighedsværktøj, der vil lette overholdelsen af bestemmelserne i både den generelle forordning om databeskyttelse (GDPR) og EU's databeskyttelsesforordning. Bl.a. anmoder Databeskyttelsesrådet og Den Europæiske Tilsynsførende om, at parterne sikres tilstrækkelig klarhed over, i hvilke situationer de kan støtte sig på disse standardkontraktbestemmelser, og understreger, at situationer, der omfatter overførsler uden for EU, ikke bør udelukkes."

Der blev anmodet om en række ændringer for at skabe større klarhed i teksten og sikre dens praktiske anvendelighed i de dataansvarliges og databehandlernes daglige arbejde. Disse omfatter samspillet mellem de to dokumenter, den såkaldte "dockingklausul", der gør det muligt for yderligere enheder at tiltræde standardkontraktbestemmelserne, samt andre aspekter vedrørende databehandleres forpligtelser. Desuden foreslår Databeskyttelsesrådet og Den Europæiske Tilsynsførende, at bilagene til standardkontraktbestemmelserne i videst muligt omfang præciserer hver af parternes roller og ansvarsområder med hensyn til hver enkelt databehandlingsaktivitet — enhver tvetydighed ville gøre det vanskeligere for dataansvarlige eller databehandlere at opfylde deres forpligtelser i henhold til ansvarlighedsprincippet.

Wojciech Wiewiórowski, Den Europæiske Tilsynsførende, udtaler: "Vi er overbevist om, at disse standardkontraktbestemmelser kan gøre det lettere for dataansvarlige og databehandlere at overholde deres forpligtelser, både i henhold til GDPR og inden for EU-institutionernes og -organers retlige rammer. Desuden håber vi, at disse standardkontraktbestemmelser vil sikre yderligere harmonisering og retssikkerhed for enkeltpersoner og deres personoplysninger. Det er i denne forbindelse, at vi sigter mod at gøre disse dokumenter så fremtidssikrede som muligt."

Udkastet til standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til artikel 46, stk. 2, litra c), i GDPR erstatter de eksisterende standardkontraktbestemmelser for internationale overførsler, der blev vedtaget på grundlag af direktiv 95/46/EF, og som skulle ajourføres for at bringe dem i overensstemmelse med kravene i GDPR og tage hensyn til EU-Domstolens Schrems II-dom samt for bedre at afspejle den udbredte brug af nye og mere komplekse databehandlingsaktiviteter, der ofte omfatter flere dataimportører og -eksportører. Navnlig indeholder de nye standardkontraktbestemmelser mere specifikke garantier i tilfælde af, at lovgivningen i bestemmelseslandet påvirker overholdelsen af bestemmelserne, især ved bindende anmodninger fra offentlige myndigheder om videregivelse af personoplysninger.

Wojciech Wiewiórowski, Den Europæiske Tilsynsførende, udtaler: "På baggrund af vores praktiske erfaringer har vi fremsat disse bemærkninger for at forbedre disse standardkontraktbestemmelser med henblik på fuldt ud at sikre, at EU-borgernes personoplysninger ved overførsler til tredjelande i alt væsentligt får et tilsvarende beskyttelsesniveau. Vi mener, at disse forslag og ændringer er afgørende for at nå disse mål i praksis."

Databeskyttelsesrådet og Den Europæiske Tilsynsførende er generelt af den opfattelse, at udkastet til standardkontraktbestemmelser giver de registrerede et øget beskyttelsesniveau. Navnlig glæder Databeskyttelsesrådet og Den Europæiske Tilsynsførende sig over de specifikke bestemmelser, der skal løse nogle af de vigtigste spørgsmål, der blev afdækket i Schrems II-dommen. Ikke desto mindre er Databeskyttelsesrådet og Den Europæiske Tilsynsførende af den opfattelse, at flere bestemmelser kan forbedres eller præciseres, f.eks. anvendelsesområdet for standardkontraktbestemmelserne, visse tredjemandsløfter, visse forpligtelser vedrørende videreoverførsel, aspekter af vurderingen af tredjelandes lovgivning vedrørende offentlige myndigheders adgang til offentlige data samt anmeldelsen til tilsynsmyndigheden.

Andrea Jelinek, formand for Databeskyttelsesrådet, tilføjer: "Betingelserne for anvendelse af standardkontraktbestemmelserne skal være klare for organisationer, og de registrerede bør sikres effektive rettigheder og klagemuligheder. Desuden bør standardkontraktbestemmelserne omfatte en klar fordeling af roller og ansvarsordninger mellem parterne. For så vidt angår behovet for supplerende ad hoc-foranstaltninger i visse tilfælde for at sikre, at de registrerede sikres et beskyttelsesniveau, der i alt væsentligt svarer til det, der garanteres i EU, skal de nye standardkontraktbestemmelser anvendes sammen med Databeskyttelsesrådets anbefalinger om supplerende foranstaltninger."

Databeskyttelsesrådet og Den Europæiske Tilsynsførende opfordrer Kommissionen til at henvise til den endelige udgave af Databeskyttelsesrådets anbefalinger om supplerende foranstaltninger, hvis den endelige udgave af anbefalingerne vedtages inden Kommissionens afgørelse om standardkontraktbestemmelser. Dette dokument blev sendt til offentlig høring indtil den 21. december 2020 og kan stadig ændres yderligere på basis af resultaterne af den offentlige høring.

 

Baggrundsoplysninger:  
Bemærk venligst, at alle dokumenter, der er vedtaget på Det Europæiske Databeskyttelsesråds plenarmøde, er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Det Europæiske Databeskyttelsesråds websted, når disse er afsluttet.

 

EDPB_Press Release_statement_2021_01