Webinarie om nya standardavtalsklausuler 2021-09-27

Nedan finner du inspelning, presentation och svar på frågor som ställdes.

Timestamps

4:20 från gammalt upplägg till nytt (biträde->underbiträde)
6:20 översikt klausulerna
8:20 modul 1-4
10:10 skillnader mellan modulerna
10:50 lämpliga skyddsåtgärder (Kap. V GDPR) vs. ytterligare skyddsåtgärder
15:00 fråga: hur bedömer man mottagarlandets lagstiftning?
16:45 tidslinje för nya SCC
17:40 bråttom?
20:00 sammanfattning och handlingsplan
22:30 repetition och fördjupning klausuler och moduler
(22:35 forward transfers)
25:10 dokumentation som ska finnas tillgänglig för tillsynsmyndighet och de registrerade
26:06 avtalskedjor
27:00 Microsoft och större biträden tillsammans med befarade risker

Har ni tips på hur vi kan avgöra om ett lands lagstiftning är på en tillräcklig nivå?

Det är inte helt lätt att bedöma annat lands nationella lagstiftning, men ett tips är att läsa EDPB:s vägledning 02/2020 (länk: https://edpb.europa.eu/sites/default/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_sv.pdf)

Behöver det finnas en förteckning över underleverantörers underleverantörer?

För att kunna redogöra fullständigt för en avtalskedja bör underleverantörernas underleverantörer anges, eftersom deras behandling av uppgifterna ska vägas in i riskerna av behandlingen. Rent pragmatiskt kanske det mer beskrivs i form av kategorier av mottagare, men dock viktigt att ta med i vilka länder dessa mottagare är verksamma.

Har du ytterligare frågor?

Chatta gärna med oss eller skicka in din fråga till info@gdprhero.se.

Hur gör man med en storleverantör, såsom exempelvis Microsoft?

Det är svårt att kommunicera med stora aktörer, såsom Microsoft, för att få till stånd ett särskilt avtal. De presenterar ofta ett standardavtal, och sedan är det upp till er att dokumentera er bedömning av skyddsåtgärder m.m som anges i avtalet. Kollektivt går det att sätta press på leverantörer om inte annat och till “vår hjälp” har vi EDPB, EU-kommissionen och tillsynsmyndigheterna som arbetar mer och mer aktivt med att granska och säkerställa villkor.

Vad är en tredjelandsöverföring?

Det är när uppgifter (faktiskt eller teoretiskt) förs utanför EU/EES-gränser. Det innebär att när man anlitar en underleverantör som har sitt huvudsakliga verksamhetställe utanför EU/EES så finns det en teoretisk möjlig överföring till det landet, även om själva behandlingen sker på servrar inom EU – just på grund av att moderbolaget eller det organ som finns i s.k. tredje land har möjlighet att kräva att få se uppgifterna. Så gäller även för om lagstiftningen i tredje landet kan kräva en utlämning av uppgifterna till myndighet eller motsvarande (frågeställningar som aktualiserades i Schrems II och där EU-domstolen konstaterade att det krävs ytterligare skyddsåtgärder för att säkerställa motsvarande skydd som inom EU för överföring till tredje land).

Rekommendationer från EDPB.

EDPB:s rekommendationer för åtgärder som komplement till överföringsverktyg (som SCC:s)
https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_sv.pdf

EDPB:s rekommendationer för att avgöra huruvida övervarkningsåtgärder i ett trejdeland (mottagarland) begränsats i tillräcklig mån så att skyddet “i huvudsak motsvarar” det som säkerställs inom EU (artikel 45.1 GDPR)
https://edpb.europa.eu/sites/default/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_sv.pdf