Standardiserade dataskyddsbestämmelser godkända av kommissionen

Personuppgifter kan överföras utanför EU och EES också med stöd av standardavtalsklausuler (standard contractual clauses, SCC) som godkänts av kommissionen.

Standardavtalsklausulerna kan utgöra en grund för överföring om båda parter har åtagit sig att iaktta standardiserade dataskyddsbestämmelser i avtalsarrangemanget.

Standardavtalsklausuler kan tillämpas vid överföring

  • mellan två personuppgiftsansvariga
  • mellan en personuppgiftsansvarig och ett personuppgiftsbiträde
  • mellan ett personuppgiftsbiträde och en personuppgiftsansvarig
  • mellan två personuppgiftsbiträde.

Den personuppgiftsansvarige bestämmer för vilket syfte och på vilket sätt personuppgifter behandlas.

Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.

Standardavtalsklausuler fastställer vilka skyldigheter såväl uppgiftsutföraren som uppgiftsinföraren har för att skydda personuppgifter.

Användning av standardavtalsklausuler som överföringsgrund förutsätter inte ett separat tillstånd från dataskyddsmyndigheten så länge deras innehåll inte ändras.

Vid användning av standardavtalsklausuler ska man kontrollera från fall till fall om de tillförsäkrar en skyddsnivå som är likvärdig med den som garanteras inom EU samt bedöma behovet av kompletterande skyddsåtgärder.

Standardavtalsklausuler för överföring av personuppgifter till tredjeländer

Standardavtalsklausuler gällande överföringar till tredjeländer (artikel 46) på kommissionens webbplats: Standard contractual clauses for international transfers

Gamla standardiserade dataskyddsbestämmelser på EUR-Lex webbtjänst:

Uppdateringar i standardavtalsklausuler

Europeiska kommissionen antog nya standardavtalsklausuler i juni 2021. De nya standardavtalsklausulerna för överföring av personuppgifter till tredjeländer ersätter de gamla dataskyddsbestämmelserna för internationella dataöverföringar. För införandet av de uppdaterade standardavtalsklausulerna gällande överföringar till tredjeländer föreskrivs en övergångstid på 18 månader.

Standardavtalsklausulerna gällande överföringar av uppgifter till tredjeländer uppdaterades så att de motsvarar kraven i den allmänna dataskyddsförordningen och EU-domstolens så kallade Schrems II-avgörande.

Överföring av personuppgifter från en personuppgiftsansvarig till ett personuppgiftsbiträde

Om personuppgifter överförs från en personuppgiftsansvarig till ett personuppgiftsbiträde ska båda parter iaktta även dataskyddsförordningens krav på att anlita personuppgiftsbiträden (artikel 28). Dessa krav har redan beaktats i de nya standardavtalsklausulerna.

Läs mer om personuppgiftsbiträdes skyldigheter