Överföring av personuppgifter till tredjeland är både vanligt och önskvärt för många företag och organisationer. Det beror inte minst på att verksamheter idag ofta använder sig av till exempel molntjänster som inte sällan är placerade utanför EU/EES. I dataskyddsförordningen (“GDPR”) finns ett förbud mot att överföra personuppgifter till tredjeland. Det finns dock vissa undantag från förbudet.
Vad är ett tredjeland?
Enligt definitionen i GDPR är ett tredje land en stat som inte ingår i Europeiska Unionen (“EU”) eller är ansluten till Europeiska ekonomiska samarbetsområdet (“EES”).
Några exempel på tredjeländer är USA, Kanada och Australien. Norge, Island och Liechtenstein är anslutna till EES och anses därför inte som tredje land. Överföring av personuppgifter till dessa länder hanteras därför på samma sätt som när överföring sker mellan två EU-länder.
Du kan läsa mer om vad överföring av personuppgifter till tredjeländer innebär enligt GDPR här.
När får jag överföra personuppgifter till tredjeländer?
Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet uppfyller villkoren i kapitel V i GDPR. Några av de överföringsgrunder som gör det tillåtet att föra över personuppgifter till ett tredjeland är:
- Beslut från EU-kommissionen om adekvat skyddsnivå
- Lämpliga skyddsåtgärder som bindande företagsbestämmelser (Binding Corporate Rules) eller standardavtalsklausuler (Standard Contractual Clauses)
- Särskilda situationer och enstaka fall
Vilka länder har adekvat skyddsnivå?
EU-kommissionen har fattat beslut om att skyddsnivån i länderna nedan är adekvat, det vill säga att länderna har tillräckligt hög skyddsnivå enligt GDPR:
- Andorra
- Argentina
- Bailiwick of Guernsey
- Färöarna
- Isle of Man
- Israel
- Japan
- Jersey
- Nya Zeeland
- Schweiz
- Uruguay
EU-kommissionen har dessutom bedömt att skyddsnivån är adekvat i Kanada, givet att landets lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling.
Tidigare har det även funnits ett beslut om adekvat skyddsnivå i USA, om mottagaren anslutit sig till Privacy Shield. Detta beslut har dock nyligen upphävts av EU-domstolen som meddelat (mål C-311/18 , “Schrems II-målet”) att personuppgifter inte längre lagligen kan överföras till USA med stöd av Privacy Shield-ramverket. Du kan läsa mer om Schrems II-målet här.
Mer information om EU-kommissionens beslut om adekvat skyddsnivå hittar du här.
Vad är standardavtalsklausuler?
Syftet med standardavtalsklausuler (“SCC”) är att säkra att de enskildas rättigheter att inte få sin personliga integritet kränkt. Innehållet i standardavtalsklausulerna ger de enskildas rättigheter när det kommer till den behandling som sker av deras personuppgifter.
Det finns tre olika versioner av standardavtalsklausuler som EU-kommissionen har beslutat om. Två av versionerna kan användas när du skickar personuppgifter till ett tredjeland där mottagaren kommer att vara personuppgiftsansvarig för den behandling av personuppgifter som mottagaren gör, medan den tredje versionen används när mottagaren agerar personuppgiftsbiträde till dig.
Mer information om standardavtalsklausulerna och hur dessa ska användas finns här.
Vad är bindande företagsbestämmelser?
Bindande företagsbestämmelser (“BCR”) beskriver regler som en företagskoncern med bolag i flera olika länder kan ha tagit fram för att reglera sin personuppgiftsbehandling. En överföring av uppgifter mellan bolag i koncernen kan innebära att uppgifter förs över från EU/EES till tredjeländer.
I GDPR finns detaljerade regler om vad bindande företagsbestämmelser ska innehålla och hur tillsynsmyndighetens godkännande av dessa ska ske. Innan en tillsynsmyndighet godkänner dessa bestämmelser ska myndigheten begära ett yttrande från den Europeiska dataskyddsstyrelsen (“EDPB”), där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.
Mer information om bindande företagsbestämmelser och hur du ansöker om dessa finns här.
Andra möjligheter till tredjelandsöverföring
En överföring till ett tredjeland kan i undantagsfall ske om överföringen inte är repetitiv, om den endast gäller ett begränsat antal registrerade, om den är nödvändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. En förutsättning är då att du informerar tillsynsmyndigheten om överföringen.
Behöver jag upprätta ett personuppgiftsbiträdesavtal?
Det ska alltid finnas ett skriftligt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Detta gäller oavsett om den registrerade har samtyckt till tredjelandsöverföringen eller om mottagarlandet har beslut om adekvat skyddsnivå. Det är alltid den personuppgiftsansvarige som ansvarar för att avtalet finns. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsaansvarige ska vidta.
Mer information om när ett personuppgiftsbiträdesavtal är nödvändigt och vad det ska innehålla hittar du här.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.