Standardiserade dataskyddsbestämmelser godkända av kommissionen

Personuppgifter kan överföras utanför EU och EES också med stöd av standardiserade dataskyddsbestämmelser (standard contractual clauses, SCC) som godkänts av kommissionen.

Standardbestämmelserna kan utgöra en grund för överföring om båda parter har åtagit sig att iaktta standardiserade dataskyddsbestämmelser i avtalsarrangemanget.

Standardiserade dataskyddsbestämmelser kan tillämpas vid överföring

  • mellan två personuppgiftsansvariga
  • mellan en personuppgiftsansvarig och ett personuppgiftsbiträde.

Den personuppgiftsansvarige bestämmer för vilket syfte och på vilket sätt personuppgifter behandlas.

Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.

Standardiserade dataskyddsbestämmelser fastställer vilka skyldigheter såväl uppgiftsutföraren som uppgiftsinföraren har för att skydda personuppgifter.

Användning av standardiserade dataskyddsbestämmelser som överföringsgrund förutsätter inte ett separat tillstånd från dataskyddsmyndigheten så länge deras innehåll inte ändras.

Standardiserade dataskyddsbestämmelser på EUR-Lex webbtjänst

Uppdateringar i standardiserade dataskyddsbestämmelser

Standardiserade dataskyddsbestämmelserna uppdateras för närvarande. De befintliga dataskyddsbestämmelserna kan användas tillsvidare som en grund för överföring av personuppgifter, fram till att de nya dataskyddsbestämmelserna antas. Vid användning av dataskyddsbestämmelser ska man kontrollera från fall till fall om de tillförsäkrar en skyddsnivå som är likvärdig med den som garanteras inom EU samt bedöma behovet av kompletterande skyddsåtgärder.

Europeiska kommissionen har publicerat utkast till nya standardiserade dataskyddsbestämmelser som gäller överföring av personuppgifter till tredjeländer och behandlingsavtal mellan personuppgiftsansvariga och personuppgiftsbiträden.

De nya dataskyddsbestämmelserna för överföring av personuppgifter till tredjeländer ersätter de nuvarande dataskyddsbestämmelserna för internationella dataöverföringar. De dataskyddsbestämmelser som gäller behandlingsavtal är helt nya. Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen har publicerat gemensamma yttranden om kommissionens nya dataskyddsbestämmelser. Vi informerar på vår webbplats när mer information om uppdaterade dataskyddsbestämmelser blir tillgänglig.

Överföring av personuppgifter från en personuppgiftsansvarig till ett personuppgiftsbiträde

Om personuppgifter överförs från en personuppgiftsansvarig till ett personuppgiftsbiträde ska båda parter iaktta även dataskyddsförordningens krav på att anlita personuppgiftsbiträden (artikel 28). Läs mer om personuppgiftsbiträdes skyldigheter

Behandlingen som personuppgiftsbiträden utför ska fastställas med ett avtal eller med något annat juridiskt dokument som förbinder personuppgiftsbiträdet i förhållande till den personuppgiftsansvarige. Avtalet ska definiera objektet och varaktigheten för behandlingen, behandlingens karaktär och syfte, typen av personuppgifter, de registrerades grupper samt den personuppgiftsansvariges skyldigheter och rättigheter.