Standardiserade dataskyddsbestämmelser godkända av kommissionen

Personuppgifter kan överföras utanför EU och EES också med stöd av standardiserade dataskyddsbestämmelser (standard contractual clauses, SCC) som godkänts av kommissionen.

Standardbestämmelserna kan utgöra en grund för överföring om båda parter har åtagit sig att iaktta standardiserade dataskyddsbestämmelser i avtalsarrangemanget.

Standardiserade dataskyddsbestämmelser kan tillämpas vid överföring

  • mellan två personuppgiftsansvariga
  • mellan en personuppgiftsansvarig och ett personuppgiftsbiträde.

Den personuppgiftsansvarige bestämmer för vilket syfte och på vilket sätt personuppgifter behandlas.

Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.

Standardiserade dataskyddsbestämmelser fastställer vilka skyldigheter såväl uppgiftsutföraren som uppgiftsinföraren har för att skydda personuppgifter.

Användning av standardiserade dataskyddsbestämmelser som överföringsgrund förutsätter inte ett separat tillstånd från dataskyddsmyndigheten så länge deras innehåll inte ändras.

Standardiserade dataskyddsbestämmelser

Kommande uppdateringar i standardiserade dataskyddsbestämmelser

Standardiserade dataskyddsbestämmelser kan användas som en överföringsgrund även om kommissionen har godkänt dem innan EU:s allmänna dataskyddsförordning trädde i kraft. Det är emellertid känt att kommissionen avser att uppdatera de standardiserade dataskyddsbestämmelserna. Dataombudsmannens byrå meddelar genom sin webbplats när det finns mer information om uppdateringen av standardiserade dataskyddsbestämmelser.

Överföring av personuppgifter från en personuppgiftsansvarig till ett personuppgiftsbiträde

Om personuppgifter överförs från en personuppgiftsansvarig till ett personuppgiftsbiträde ska båda parter iaktta även dataskyddsförordningens krav på att anlita personuppgiftsbiträden (artikel 28).

Behandlingen som personuppgiftsbiträden utför ska fastställas med ett avtal eller med något annat juridiskt dokument som förbinder personuppgiftsbiträdet i förhållande till den personuppgiftsansvarige. Avtalet ska definiera objektet och varaktigheten för behandlingen, behandlingens karaktär och syfte, typen av personuppgifter, de registrerades grupper samt den personuppgiftsansvariges skyldigheter och rättigheter.