EU: EDPB publicerar riktlinje om samspelet mellan artikel 3 och kapitel V i GDPR

Europeiska dataskyddsstyrelsen (EDPB) har antagit en ny riktlinje om samspelet mellan tillämpningen av artikel 3 och bestämmelserna om internationella överföringar enligt kapitel V i dataskyddsförordningen (GDPR). Riktlinjen syftar särskilt till att klargöra samspelet mellan artikel 3 GDPR och GDPR:s bestämmelser om internationella överföringar i kapitel V för att hjälpa personuppgiftsansvariga och personuppgiftsbiträden inom EU att identifiera om en behandling av personuppgifter utgör en överföring till ett tredjeland eller en internationell organisation och, som en följd av detta, om de måste följa bestämmelserna i kapitel V i GDPR.

I riktlinjen anges följande tre kumulativa kriterier som gör att behandling av personuppgifter kan betraktas som en överföring:

  • En personuppgiftsansvarig eller ett personuppgiftsbiträde omfattas av GDPR för den aktuella behandlingen.
  • Den personuppgiftsansvarige eller personuppgiftsbiträdet (dvs. exportören) lämnar ut personuppgifter som omfattas av denna behandling genom överföring eller på annat sätt gör dem tillgängliga för en annan personuppgiftsansvarig, gemensam personuppgiftsansvarig eller personuppgiftsbiträde (dvs. importören).
  • Importören befinner sig i ett tredjeland eller är en internationell organisation, oavsett om importören omfattas av GDPR med avseende på den aktuella behandlingen i enlighet med artikel 3 eller inte.

Riktlinjen ger även vägledning om vart och ett av dessa kriterier med kompletterande exempel på specifika behandlingssituationer som EDPB har beaktat. Exempelvis klargör exemplen att det andra kriteriet ovan inte är uppfyllt i de fall där den personuppgiftsansvarige i ett tredjeland samlar in uppgifter direkt från en registrerad person i EU, och inte heller i de fall där en anställd hos den personuppgiftsansvarige har fjärråtkomst till personuppgifter i ett tredjeland.

Dessutom anges i riktlinjen att om alla kriterier är uppfyllda föreligger en “överföring till ett tredjeland eller en internationell organisation”, varför den personuppgiftsansvarige eller personuppgiftsbiträdet i den aktuella behandlingssituationen måste uppfylla villkoren i kapitel V och inrama överföringen med hjälp av de instrument som föreskrivs i kapitel V och som syftar till att skydda personuppgifter efter det att de har överförts till ett tredjeland eller en internationell organisation.

I riktlinjen noteras vidare att instrumenten i kapital V omfattar förekomsten av adekvat skyddsnivå i det tredjeland eller den internationella organisation till vilken uppgifterna överförs, eller i avsaknad av en sådan adekvat skyddsnivå, att exportören genomför lämpliga skyddsåtgärder enligt artikel 46 GDPR. Vidare framhålls i riktlinjen att innehållet i de skyddsåtgärder som anges i artikel 46 GDPR måste anpassas beroende på situationen, och man noterar till exempel det modulära tillvägagångssättet i standardavtalsklausulerna (SCC) som antogs av EU-kommissionen i juni 2021 (läs mer om detta här).

Följaktligen föreskrivs i riktlinjen att när överföringsverktyg som SCC utvecklas bör situationen enligt artikel 3.2 GDPR beaktas för att inte duplicera GDPR-förpliktelserna utan snarare ta itu med de element och principer som saknas och som därför behövs för att fylla de luckor som rör motstridiga nationella lagar och myndigheternas tillgång i tredjelandet, samt svårigheten att genomföra och få upprättelse mot en enhet utanför EU.

Utöver detta uppmuntrar riktlinjen till utveckling av ett överföringsverktyg, till exempel en ny uppsättning av SCC, i de fall där importören omfattas av GDPR för den givna behandlingen i enlighet med artikel 3.2 GDPR.

Du kan läsa EDPB.s pressmeddelande här och riktlinje här, båda endast tillgängliga på engelska.

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom AI, personlig integritet och informationssäkerhet.