Standardkontraktbestemmelser

Standardkontraktbestemmelser (SCCs) er forhåndsgodkendte juridiske skabeloner udstedt af Europa-Kommissionen, der gør det muligt for organisationer at overføre personoplysninger fra EU til lande uden for EU, som ikke har tilstrækkelige databeskyttelseslove. De fungerer som en kontraktlig garanti for, at dataene vil blive beskyttet i henhold til EU-standarder, selv når de forlader Unionen.

Retsgrundlag

Standardkontraktbestemmelser er fastsat i henhold til GDPR som en mekanisme for lovlige internationale dataoverførsler:

"Kommissionen kan [...] vedtage standardbestemmelser om databeskyttelse for de forhold, der er omhandlet i stk. 2, litra c) og d)."

— Artikel 46, stk. 2, litra c) og 46, stk. 2, litra d), forordning (EU) 2016/679 (GDPR)

Hvorfor det er vigtigt

Standardkontraktbestemmelser er afgørende for enhver organisation involveret i politisk annoncering, der behandler personoplysninger på tværs af grænser. Når politiske annonceringtjenester anvender målretningsteknikker eller annonceleveringsteknikker, der er afhængige af personoplysninger, og disse data overføres til lande uden for EU/EØS, udgør SCCs det juridiske grundlag for disse overførsler.

For udgivere, udbydere af politiske annonceringtjenester og sponsorer, der arbejder med internationale partnere—såsom cloud-tjenesteudbydere i USA, analyseplatforme eller globale annonceringnetværk—er SCCs ofte det mest praktiske værktøj til at sikre GDPR-overholdelse. Uden korrekte overførselsmekanismer som SCCs er overførsel af personoplysninger uden for EU ulovlig og kan resultere i betydelige sanktioner fra databeskyttelsesmyndigheder.

EU-Domstolen har gjort det klart, at SCCs alene ikke altid er tilstrækkelige. Organisationer skal også vurdere, om destinationslandets love kan underminere de garantier, der tilbydes af bestemmelserne, og om nødvendigt implementere yderligere sikkerhedsforanstaltninger.

Nøglepunkter

Forhåndsgodkendte skabeloner: SCCs er udarbejdet af Europa-Kommissionen og kan ikke ændres i deres væsentlige bestemmelser, hvilket sikrer ensartede beskyttelsesstandarder
Bindende forpligtelser: Både dataeksportøren (i EU) og dataimportøren (uden for EU) er kontraktligt forpligtet til at beskytte dataene i henhold til EU-lovgivningen
Vurdering af overførselskonsekvenser påkrævet: Organisationer skal vurdere, om lovene i destinationslandet kan forstyrre de garantier, som SCCs giver
Flere versioner tilgængelige: Der findes forskellige sæt SCCs til forskellige overførselsscenarier (dataansvarlig til dataansvarlig, dataansvarlig til databehandler, databehandler til databehandler)
Alternativ til tilstrækkelighedsafgørelser: SCCs anvendes ved overførsel af data til lande, der mangler en EU-tilstrækkelighedsafgørelse (såsom USA efter Privacy Shield)
Overvågning og overholdelse: Begge parter skal sikre løbende overholdelse og kan være nødt til at suspendere eller afslutte overførsler, hvis beskyttelse ikke kan garanteres

Standardkontraktbestemmelser vs. tilstrækkelighedsafgørelse

Standardkontraktbestemmelser og tilstrækkelighedsafgørelser er begge juridiske mekanismer til overførsel af personoplysninger uden for EU, men de fungerer forskelligt.

En tilstrækkelighedsafgørelse er en formel afgørelse fra Europa-Kommissionen om, at et specifikt land giver et i det væsentlige tilsvarende databeskyttelsesniveau som EU. Når der findes en tilstrækkelighedsafgørelse (såsom for EU-USA Data Privacy Framework, Storbritannien eller Canada), kan data flyde frit til det pågældende land uden yderligere sikkerhedsforanstaltninger.

Standardkontraktbestemmelser anvendes derimod, når der ikke findes en tilstrækkelighedsafgørelse. De er kontraktlige aftaler, der kræver, at begge parter forpligter sig til specifikke databeskyttelsesforpligtelser. Mens SCCs giver fleksibilitet og kan anvendes til ethvert tredjeland, kræver de mere aktiv implementering, løbende overvågning og vurdering af overførselskonsekvenser—hvorimod tilstrækkelighedsafgørelser forenkler overholdelsen ved at eliminere disse yderligere trin.

Aspekt	Standardkontraktbestemmelser	Tilstrækkelighedsafgørelse
Anvendelsesområde	Specifikke overførsler mellem parter	Alle overførsler til et land
Godkendelse	Kontraktlig aftale	EU-Kommissionens afgørelse
Vurdering	Vurdering af overførselskonsekvenser påkrævet	Ingen yderligere vurdering nødvendig
Fleksibilitet	Høj (kan anvendes overalt)	Begrænset (kun udpegede lande)

Relaterede begreber

Ja. Som en EU-forordning er TTPA direkte anvendelig i alle medlemsstater uden at kræve national implementering. Medlemsstaterne skal kun udpege myndigheder og fastlægge sanktioner.

Gennemsigtighedskrav sikrer, at alle politiske aktører opererer under de samme regler. Vælgerne kan se, hvem der har ressourcer, og hvordan de anvendes, hvilket understøtter fair konkurrence.

Gennemsigtighed skaber tillid ved at vise vælgerne, at politiske aktører opererer åbent. Skjult finansiering eller målretning undergraver tilliden til demokratiske processer.

Ved at kræve tydelig mærkning og tilgængelige gennemsigtighedsoplysninger hjælper TTPA folk med at genkende politisk annoncering og forstå, hvem der forsøger at påvirke dem.

Politisk reklame omfatter enhver betalt meddelelse, der fremmer en politisk aktør, påvirker adfærd ved stemmeafgivning, påvirker resultatet af valg eller folkeafstemninger eller påvirker lovgivningsmæssige eller reguleringsmæssige processer. Det omfatter også enhver reklame foretaget af eller på vegne af en politisk aktør.

Nej. TTPA påvirker ikke nationale regler om indholdet af politiske annoncer, kampagnefinansiering, valgperioder eller generelle forbud mod politisk annoncering. Den tilføjer gennemsigtighedskrav oven i eksisterende national lovgivning.

Det officielle navn er Europa-Parlamentets og Rådets forordning (EU) 2024/900 om gennemsigtighed og målretning af politisk annoncering. Den blev offentliggjort den 20. marts 2024.

Ja. TTPA dækker al politisk annoncering, uanset om den er online eller offline, herunder print, reklametavler, tv, radio og digitale kanaler. Målretningsreglerne i kapitel III gælder kun for onlineannoncering.