Standardkontraktbestemmelser

Standardkontraktbestemmelser (SCC) er EU-godkendte kontraktklausuler, der giver et gyldigt grundlag for overfoersel af persondata til tredjelande. De er den mest anvendte mekanisme til at lovliggoere dataoverfoersler uden for EU/EOES.

Tilbage til ordbog

Indholdsfortegnelse

    Hvad er standardkontraktbestemmelser?

    Standardkontraktbestemmelser (SCC, ogsa kaldet Standard Contractual Clauses) er kontraktklausuler vedtaget af EU-Kommissionen i henhold til GDPR artikel 46, stk. 2, litra c. De udgoer et gyldigt overfoerselsgrundlag for at sende persondata til lande uden for EU/EOES.

    De nuvaerende SCC blev vedtaget i juni 2021 og erstattede de tidligere versioner. De er modulopbyggede og daekker forskellige relationer mellem afsender og modtager.

    SCC er den mest brugte mekanisme, fordi de er tilgaengelige for alle organisationer uden forudgaende godkendelse fra Datatilsynet. De er et alternativ til tilstraekkeligheder og bindende virksomhedsregler.

    De fire moduler

    De nye SCC er bygget op som et modulaert system med fire moduler:

    • Modul 1: C2C (Controller to Controller). Dataansvarlig i EU overfoerer til dataansvarlig i tredjeland.
    • Modul 2: C2P (Controller to Processor). Dataansvarlig i EU overfoerer til databehandler i tredjeland. Det mest anvendte modul.
    • Modul 3: P2P (Processor to Processor). Databehandler i EU overfoerer til underdatabehandler i tredjeland.
    • Modul 4: P2C (Processor to Controller). Databehandler i EU overfoerer til dataansvarlig i tredjeland.

    Du vaelger det modul, der passer til din konkrete relation. SCC skal indgas som en del af (eller som bilag til) din databehandleraftale med leverandoeren.

    Transfer Impact Assessment

    Siden EU-Domstolens Schrems II-dom i 2020 er det et krav, at du foretager en Transfer Impact Assessment (TIA), inden du overfoerer data baseret pa SCC.

    En TIA vurderer:

    • Lovgivningen i modtagerlandet (saerligt myndigheders adgang til data)
    • Om lovgivningen i praksis respekterer de garantier, SCC giver
    • Om der er behov for supplerende foranstaltninger

    Supplerende foranstaltninger kan omfatte:

    • Tekniske foranstaltninger: staerk kryptering, hvor noeglen forbliver i EU
    • Pseudonymisering, hvor noeglen ikke deles med modtageren
    • Kontraktlige foranstaltninger: forpligtelse til at udfordre myndighedsanmodninger
    • Organisatoriske foranstaltninger: streng adgangskontrol

    Viser TIA'en, at beskyttelsen ikke kan sikres, skal du ophoere med overfoerslen.

    SCC i praksis

    De fleste store cloudleverandoerer (Microsoft, Google, AWS osv.) tilbyder SCC som del af deres standardaftaler. Men du skal stadig:

    • Identificere, at SCC faktisk er indgaet (ikke bare antaget)
    • Verificere, at det korrekte modul er anvendt
    • Foretage din egen TIA (du kan ikke blot forlade dig pa leverandoerens)
    • Dokumentere SCC og TIA i din fortegnelse
    • Gennemga regelmaessigt, om forholdene i modtagerlandet har aendret sig

    Du ma ikke aendre selve SCC-teksten, men du kan tilfoeje supplerende klausuler, der ikke modsiger SCC eller undergraver de registreredes rettigheder.

    Ofte stillede spørgsmål om standardkontraktbestemmelser

    Hvad er standardkontraktbestemmelser (SCC)?

    Standardkontraktbestemmelser (SCC) er kontraktklausuler vedtaget af EU-Kommissionen, der giver et gyldigt grundlag for overfoersel af persondata til lande uden for EU/EOES. De sikrer, at modtageren af data overholder databeskyttelseskrav, der svarer til EU's niveau.

    Hvornar skal man bruge SCC?

    Du skal bruge SCC (eller et andet overfoerselsgrundlag), nar du overfoerer persondata til et tredjeland, der ikke har en tilstraekkeligheds-afgoerelse fra EU-Kommissionen. SCC er det mest udbredte overfoerselsgrundlag for europaeiske organisationer.

    Skal man foretage en TIA sammen med SCC?

    Ja. Siden Schrems II-dommen er det et krav, at du foretager en Transfer Impact Assessment (TIA), der vurderer, om lovgivningen i modtagerlandet i praksis respekterer de garantier, SCC giver. Viser TIA'en problemer, skal du implementere supplerende foranstaltninger.

    Kan man aendre i standardkontraktbestemmelserne?

    Du ma ikke aendre selve SCC-teksten, da det ville fjerne deres status som godkendt overfoerselsgrundlag. Du kan tilfoeje supplerende klausuler, sa laenge de ikke modsiger SCC eller undergraver de registreredes rettigheder.

    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontor

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    Vi går op i sikkerhed

    Download vores erklæringer:

    ISAE 3000

    ISAE 3402

    Moduler

    Lad mig hjælpe jer i gang

    joa i blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl