Nye standardavtaler

EU-kommisjonen har nå vedtatt en standard databehandleravtale og ny standardavtale for overføring av personopplysninger til tredjeland.

Alle virksomheter som bruker databehandlere må ha databehandleravtale. Vi har tidligere laget veiledning om når man må inngå en slik avtale og hva den skal inneholde.

Standard databehandleravtale

Virksomheter står fritt til å lage sine egne databehandleravtaler så lenge de oppfyller kravene. Man kan imidlertid velge å bruke en standard databehandleravtale. Det er en avtale som er vedtatt av EU-kommisjonen eller en datatilsynsmyndighet i EØS etter å ha fått en uttalelse av Personvernrådet (EDPB).

EU-kommisjonens nye standard databehandleravtale er foreløpig på kun på engelsk, tysk og fransk. Vi antar at den på sikt vil bli tilgjengelig på alle EØS-språk.

Husk at den danske datatilsynsmyndighetens standard databehandleravtale også er tilgjengelig på norsk. Denne kan fremdeles benyttes.

Les EU-kommisjonens nye standard databehandleravtale (ec.europa.ec)

Standardavtale for overføring av personopplysninger til tredjeland

Dersom man skal overføre personopplysninger til et land utenfor EØS, må man som hovedregel ha på plass et overføringsgrunnlag. I mange tilfeller har man også andre plikter som må oppfylles før man kan overføre personopplysninger til tredjeland, som følge av Schrems II-dommen fra EU-domstolen. Se våre spørsmål og svar om overføring til utlandet utenfor EØS

EU-kommisjonens standardavtaler for overføring er det mest brukte overføringsgrunnlaget. Frem til nå har standardavtalene vært basert på gammel regelverk. Den nye standardavtalen som EU-kommisjonen har vedtatt, er i stedet basert på personvernforordningen(GDPR). Den tar også høyde for Schrems II-dommen ved at den inneholder bestemmelser som reflekterer tilleggspliktene som dommen gir.

Standardavtalen er modulbasert, noe som betyr at den kan brukes uavhengig av om henholdsvis dataeksportør og dataimportør er behandlingsansvarlig eller databehandler. Dessuten åpner den for at flere enn to parter kan inngå samme avtale, og nye parter kan tiltre avtalen i etterkant. Standardavtalen er også ment å dekke kravene til databehandleravtale slik at man ikke trenger dette i tillegg.

EU-kommisjonens nye standardavtale for overføring av personopplysninger til tredjeland er foreløpig tilgjengelig på engelsk, tysk og fransk. Vi antar at den på sikt vil bli tilgjengelig på alle EØS-språk.

De gamle standardavtalene for overføring blir etter hvert opphevet. Det betyr at virksomheter som har brukt disse, på sikt må erstatte dem med de nye avtalene eller finne et annet overføringsgrunnlag. EU-kommisjonen har lagt opp til en overgangsperiode på 18 måneder.

Les standardavtalen for overføring av personopplysninger til tredjeland (ec.europa.eu)

Ikke trådt i kraft

De nye standardavtalene er vedtatt gjennom såkalte gjennomføringsrettsakter som vil begynne å gjelde den 27. juni 2021. Standardavtalene får da formelt rettsvirkning innad i EU. Det er først når avtalene blir inntatt i EØS-avtalen at de får rettskraft også i Norge.

Datatilsynet vil imidlertid akseptere at norske virksomheter begynner å bruke standard-databehandleravtalen til EU-kommisjonen allerede nå hvis man ønsker det.

Vi regner med at begge standardavtalene vil oversettes til norsk når de inntas i EØS-avtalen.