Genom dataskyddsförordningen (“GDPR”) har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom området utan begränsningar.
Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. GDPR innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES, så kallade tredjelandsöverföringar. Du kan läsa mer om tredjelandsöverföringar här.
Vad är adekvat skyddsnivå?
En av grunderna när det är tillåtet att föra över personuppgifter till ett tredjeland är när det finns ett beslut från EU-kommissionen om ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå enligt artikel 45 i GDPR. Det kan även gälla ett visst territorium, en internationell organisation eller en eller flera sektorer i ett tredjeland.
När EU-kommissionen fattar beslut om adekvat skyddsnivå tittar kommissionen på flera olika faktorer. Några av dessa faktorer är:
- Rättsstatsprincipen
- Respekten för de mänskliga rättigheterna och de grundläggande friheterna
- Relevant lagstiftning inklusive lagstiftning avseende allmän säkerhet, försvar, nationell säkerhet och straffrätt
- Offentliga myndigheters tillgång till personuppgifter samt tillämpningen av sådan lagstiftning
- Dataskyddsregler, yrkesregler och säkerhetsbestämmelser, inbegripet regler för vidare överföring av personuppgifter till ett annat tredjeland som ska följas i det landet
- Rättspraxis samt faktiska och verkställbara rättigheter för registrerade
- Effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs
- Huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet som har ansvar för att säkerställa och kontrollera att dataskyddsregler följs inklusive lämpliga verkställighetsbefogenheter ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter
- Vilka internationella åtaganden det berörda tredjelandet har gjort eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i multilaterala eller regionala system särskilt rörande skydd av personuppgifter
Vilka länder har adekvat skyddsnivå?
EU-kommissionen har fattat beslut om att skyddsnivån i länderna nedan är adekvat, det vill säga att länderna har tillräckligt hög skyddsnivå enligt GDPR:
- Andorra
- Argentina
- Bailiwick of Guernsey
- Färöarna
- Isle of Man
- Israel
- Japan
- Jersey
- Nya Zeeland
- Schweiz
- Uruguay
EU-kommissionen har dessutom bedömt att skyddsnivån är adekvat i Kanada, givet att landets lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling.
Tidigare har det även funnits ett beslut om adekvat skyddsnivå i USA, om mottagaren anslutit sig till Privacy Shield. Detta beslut har dock nyligen upphävts av EU-domstolen som meddelat (mål C-311/18 , “Schrems II-målet”) att personuppgifter inte längre lagligen kan överföras till USA med stöd av Privacy Shield-ramverket. Du kan läsa mer om Schrems II-målet här.
Kan ett beslut om adekvat skyddsnivå ändras?
EU-kommissionen ska fortlöpande övervaka utvecklingen i tredjeländer och hur denna kan påverka beslut som antagits. Om ett tredjeland inte längre uppfyller kraven på adekvat skyddsnivå kan EU-kommissionen alltid, efter att ha underrättat tredjelandet och lämnat en fullständig motivering, besluta att beslutet om adekvat skyddsnivå ska ändras eller återkallas.
Mer information om EU-kommissionens beslut om adekvat skyddsnivå hittar du här.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.