Standardiserade dataskyddsbestämmelser godkända av kommissionen

Personuppgifter kan överföras utanför EU och EES också med stöd av standardavtalsklausuler (standard contractual clauses, SCC) som godkänts av kommissionen. För införandet av de uppdaterade standardavtalsklausulerna föreskrivs en övergångstid på 18 månader som löper ut den 27 december 2022​​​​​​​.

Standardavtalsklausulerna kan utgöra en grund för överföring om båda parter har åtagit sig att iaktta standardiserade dataskyddsbestämmelser i avtalsarrangemanget.

Standardavtalsklausuler kan tillämpas vid överföring

  • mellan två personuppgiftsansvariga
  • mellan en personuppgiftsansvarig och ett personuppgiftsbiträde
  • mellan ett personuppgiftsbiträde och den personuppgiftsansvarige
  • mellan två personuppgiftsbiträden

Den personuppgiftsansvarige bestämmer för vilket syfte och på vilket sätt personuppgifter behandlas.

Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.

Standardavtalsklausuler fastställer vilka skyldigheter såväl uppgiftsutföraren som uppgiftsinföraren har för att skydda personuppgifter.

Användning av standardavtalsklausuler som överföringsgrund förutsätter inte ett separat tillstånd från dataskyddsmyndigheten så länge deras innehåll inte ändras.

Vid användning av standardavtalsklausuler ska man kontrollera från fall till fall om de tillförsäkrar en skyddsnivå som är likvärdig med den som garanteras inom EU samt bedöma behovet av kompletterande skyddsåtgärder.

Standardavtalsklausuler för överföring av personuppgifter till tredjeländer

Standardavtalsklausuler gällande överföringar till tredje land (artikel 46) på kommissionens webbplats: ​​​​​​​Standard clauses for data transfers to third countries

Gamla standardiserade dataskyddsbestämmelser på webbtjänsten EUR-Lex:

Uppdateringar i standardavtalsklausuler

Europeiska kommissionen godkände de uppdaterade standardavtalsklausulerna i juni 2021 och de trädde i kraft den 27 juni 2021.

De nya standardavtalsklausulerna för överföring av personuppgifter till tredjeländer ersätter de tidigare dataskyddsbestämmelserna för internationella dataöverföringar. Standardavtalsklausulerna gällande överföringar av uppgifter till tredjeländer uppdaterades så att de motsvarar kraven i den allmänna dataskyddsförordningen och EU-domstolens så kallade Schrems II-avgörande.

Komissionens svar på vanliga frågor om standardavtalsklausuler (pdf, på engelska)

Överföring av personuppgifter från en personuppgiftsansvarig till ett personuppgiftsbiträde

Om personuppgifter överförs från en personuppgiftsansvarig till ett personuppgiftsbiträde ska båda parter iaktta även dataskyddsförordningens krav på att anlita personuppgiftsbiträden (artikel 28). Dessa krav har beaktats i de nya standardavtalsklausulerna om dataöverföringar.

Läs mer om personuppgiftsbiträdes skyldigheter