Ett av de mest omdiskuterade områdena inom dataskydd och dataskyddsförordningen (“GDPR”) är överföringar till länder utanför EU/EES-området, så kallade tredjeländer. Exempel på tredjeländer är USA, Kanada, Kina, Indien och Thailand. Överföring av personuppgifter regleras enligt strikta krav. Ett sätt att göra lagliga överföringar är att använda sig av standardavtalsklausuler för tredjelandsöverföringar som har godkänts av EU-kommissionen. Dessa standardavtalsklausuler utmanats nu inför EU-domstolen.
Det är nu klart att EU-domstolen kommer att meddela sin dom om giltigheten av standardavtalsklausulerna den 16 juli 2020 (mål C-311/18). Domen kommer att avgöra huruvida standardavtalsklausulerna även fortsättningsvis kan användas som laglig grund för överföring av personuppgifter till tredje länder i enlighet med GDPR. EU-domstolens generaladvokat har i sitt icke-bindande yttrande ansett att standardavtalsklausulerna ger tillräckligt skydd för personuppgifter vid tredjelandsöverföringar. Även om yttrandet välkomnades av internationella företag kommer det inte nödvändigtvis att följas av EU-domstolen.
Standardavtalsklausulerna är ett viktigt verktyg för företag och myndigheter som vill anlita en molntjänstleverantör eftersom detta ofta innebär att personuppgifter överförs till tredje länder. Även om molntjänstleverantören sitter i Sverige eller inom EU/EES förekommer det regelbundet att leverantören anlitar underleverantörer med säte i ett tredje land, till exempel Microsoft Azure eller Amazon Web Services. Därutöver räknas även åtkomst från ett tredje land till personuppgifter som lagras inom EU/EES som en tredjelandsöverföring. Sådan åtkomst händer regelbundet när supportpersonal som befinner sig i ett tredje land får åtkomst till uppgifter som lagras i databaser inom EU/EES.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.