Tredjelandsöverföring
Om personuppgifter ska överföras till länder utanför EU/EES-området, en så kallad tredjelandsöverföring, finns särskilda regler som du som offentlig aktör måste följa.
Dataskyddsförordningen ger ett likvärdigt skydd för personuppgifter och personlig integritet inom hela EU/EES-området vilket innebär att personuppgifter får överföras fritt inom detta område utan begränsningar.
Om personuppgifter istället ska överföras till länder utanför EU/EES-området, en så kallad tredjelandsöverföring [1], finns särskilda regler.
Överföring kan ske exempelvis genom att dokumentation som innehåller personuppgifter skickas till ett tredjeland, att ett personuppgiftsbiträde har hela eller delar av sina tjänster i ett tredjeland eller att personuppgifter lagras i ett tredjeland. Under vissa förutsättningar är det tillåtet för myndigheter att överföra personuppgifter utanför EU/EES:
- Det finns ett beslut från EU-kommissionen om att exempelvis ett visst tredjeland säkerställer så kallad adekvat skyddsnivå.
- Ni har vidtagit lämpliga skyddsåtgärder.
- Det rör sig om en särskild situation och enstaka överföring.
Adekvat skyddsnivå
EU-kommissionen kan fatta beslut om att ett land har en tillräckligt hög skyddsnivå och ni får då överföra personuppgifter dit utan något särskilt tillstånd. I dataskyddsförordningen kallas det för att mottagarlandet har en adekvat skyddsnivå. Beslut om adekvat skyddsnivå kan även gälla ett visst territorium, en internationell organisation eller en eller flera sektorer i ett tredjeland.
När EU-kommissionen fattar beslut om adekvat skyddsnivå tittar de bland annat på landets lagar och internationella åtaganden, vilka möjligheter den registrerade har att få rättslig prövning och om landet respekterar de mänskliga rättigheterna och de grundläggande friheterna. EU-kommissionen kontrollerar också att det finns oberoende tillsynsmyndig-heter som ansvarar för att dataskyddsreglerna följs och som kan hjälpa de registrerade. Aktuell lista med adekvansbeslut finns på EU-kommissionens webbplats [2].
Överföringar till USA och EU-US Data Privacy Framework
Den 10 juli 2023 fattade EU-kommissionen ett beslut om adekvat skyddsnivå för USA, förutsatt att mottagaren av personuppgifterna i USA omfattas av EU-US. Data Privacy Framework [3]. Detta sker genom att de amerikanska organisationerna kan ansluta sig till EU-US Data Privacy Framework genom självcertifiering.
Beslutet innebär att USA genom EU-US. Data Privacy Framework har infört åtgärder för att läka de brister som EU-domstolen ansåg förelåg i Schrems II-domen, bland annat genom att begränsa amerikansk underrättelsetjänsts tillgång till personuppgifter och genom att etablera en ny mekanism som gör det möjligt för EU-medborgare att söka rättelse. Europeiska dataskyddsstyrelsen (EDPB) har som tillägg till det nya adekvansbeslutet också publicerat frågor och svar som kan vara behjälpligt för innovatörer som vill använda beslut om adekvat skyddsnivå som rättslig grund för överföring till USA [4].
Viktigt att ha i åtanke är att EU-US Data Privacy Framework, likt tidigare överenskommelser, kan bli föremål för rättslig prövning och därmed även ogiltigförklaras av EU-domstolen. Det innebär att ni som grundar er överföring på beslutet behöver säkerställa att beslutet fortfarande gäller. EU-kommissionen kommer inom ett år från det att regelverket trädde i kraft tillsammans med behöriga amerikanska och europeiska dataskyddsmyndigheter granska hur EU-US Data Privacy Framework fungerar i praktiken.
Om den mottagande organisationen däremot inte omfattas av EU-US Data Privacy Framework kan överföringen inte ske med stöd av EU-kommissionens beslut om adekvat skyddsnivå för USA, däremot kan det vara tillåtet att överföra personuppgifter till USA under samma förutsättningar som till övriga tredjeländer.
Lämpliga skyddsåtgärder
Personuppgifter får överföras till ett land utanför EU/EES om den som är personuppgiftsansvarig vidtar lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen.
Lämpliga skyddsåtgärder kan vara
- standardavtalsklausuler som EU-kommissionen har beslutat om
- godkända uppförandekoder eller certifieringsmekanismer
- rättsligt bindande instrument mellan myndigheter
- ad hoc-klausuler som godkänts av Integritetsskyddsmyndigheten (IMY)
- administrativa överenskommelser mellan myndigheter som godkänts av IMY.
Det måste också finnas lagstadgade rättigheter och möjlighet för de registrerade att klaga på personuppgiftsbehandlingen och få den prövad i domstol.
Om skyddsnivån i mottagarlandet inte är tillräcklig kan ni behöva vidta ytterligare skyddsåtgärder utöver till exempel standardavtalsklausuler. Så är fallet om det skydd som ska garanteras av de lämpliga skyddsåtgärderna inte kan upprätthållas i praktiken. EDPB har antagit rekommendationer om när ytterligare skyddsåtgärder kan behövas och vad sådana åtgärder kan vara [5]. Notera att i vissa fall kan inga ytterligare skyddsåtgärder kompensera för bristerna och gör därav överföringen otillåten. I sådana fall behöver ni avstå ifrån eller avbryta överföringen.
EDPB ger i sina rekommendationer exempel på sådana tekniska, ytterligare avtalsrättsliga åtgärder och organisatoriska åtgärder som personuppgiftsansvariga kan vidta. Som exempel på tekniska åtgärder nämns stark kryptering före överföring, tillförlitlig hantering av krypteringsnycklar, pseudonymisering av personuppgifter innan överföring och förvaring av krypteringsnycklar hos den personuppgiftsansvarige eller hos tillförlitlig part [6].
Som exempel på ytterligare avtalsrättsliga åtgärder anger EDPB bland annat föreskrifter om att särskilda tekniska åtgärder måste vidtas för att överföringarna ska kunna äga rum samt bilagor till avtalet med information om åtkomst till uppgifterna som mottagaren i tredjelandet, efter bästa förmåga, kan ge de offentliga myndigheterna, däribland inom underrättelseområdet, under förutsättning att lagstiftningen uppfyller EDPB:s europeiska väsentliga garantier i det mottagande landet [7].
I fråga om organisatoriska åtgärder så exemplifierar EDPB med bland annat antagande av adekvata interna regler med tydlig ansvarsfördelning för överföringar av uppgifter, rapporteringskanaler och standardiserade operativa förfaranden i de fall då offentliga myndigheter lämnar in dolda eller officiella begäranden om att komma åt uppgifterna samt dokumentation och registrering av de begäranden om åtkomst som tagits emot från offentliga myndigheter och de svar som lämnats, tillsammans med det rättsliga resonemanget och de medverkande aktörerna (till exempel om uppgiftsutföraren har underrättats och dennes svar, bedömningen av den grupp som har ansvar för att hantera sådana begäranden etcetera) [8].
Särskilda situationer och enstaka överföringar
I undantagsfall kan det vara tillåtet att överföra personuppgifter till ett land utanför EU/EES även om landet saknar ett beslut om adekvat skyddsnivå och trots att inte lämpliga skyddsåtgärder har vidtagits. Var dock noga med att bedöma om ni verkligen behöver göra överföringen. Finns det andra lösningar? Kraven på er som vill överföra personupp-gifterna är höga, och ni måste noga analysera riskerna för de registrerade. EDPB har antagit riktlinjer om överföring av personuppgifter i särskilda situationer och enstaka fall [9].
Stödfrågor för att bedöma tredjelandsöverföring
- Innebär behandlingen att personuppgifter överförs till tredjeland?
- För det fall ni anlitar ett personuppgiftsbiträde, har personuppgiftsbiträdet, eller underleverantörer som denne anlitar, delar av sin tjänst förlagda så att personuppgifter förs över till tredjeland?
- Om personuppgifter överförs till tredje land, är det möjligt att göra överföringen till tredjeland med stöd av ett beslut om adekvat skyddsnivå?
- Om personuppgifter kommer att överföras till USA med stöd av beslut om adekvat skyddsnivå, är den mottagande organisation ansluten till EU-US Data Privacy Framework?
- Om personuppgifter överförs till tredje land och det saknas beslut om adekvat skyddsnivå, är det möjligt att stödja överföringen på standardavtalsklausuler eller andra lämpliga skyddsåtgärder?
- Har ni med stöd i EDPB:s rekommendationer 01/2020 gjort bedömningar av vilka ytterligare skyddsåtgärder av teknisk, avtalsmässig och organisatorisk karaktär som är nödvändiga att vidta?
- Har ni med stöd i EDPB:s rekommendationer 02/2020 gjort bedömningar av vilka nödvändiga garantier som ställs via mottagarlandets lagstiftning?
Källhänvisningar
[1] Artiklarna 44-50 i dataskyddsförordningen (imy.se)
Länk till annan webbplats.
[2] EU-kommissionens förteckning över gällande adekvansbeslut; Adequacy decisions (commision.europa.eu) Länk till annan webbplats.
[3] EU-kommissionens adekvansbeslut rörande EU-US Data Privacy Framework: Dataskydd: EU-kommissionen antar ett nytt beslut om adekvat skydd för säkra och tillförlitliga uppgiftsflöden mellan EU och USA (ec.europa.eu) Länk till annan webbplats.
[4] Europeiska dataskyddsstyrelsens (EDPB:s) informationsblad om dataöverföringar som omfattas av GDPR till Förenta staterna: Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023 (edpb.europa.eu) Länk till annan webbplats.
[6] Jfr s. 24-25 m.fl., p. 79 och 80 m.fl. i EDPB:s Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter (edpb.europa.eu) Länk till annan webbplats.
[7] Jfr s. 31-32 m.fl., p., 97-102 m.fl. i EDPB:s Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter (edpb.europa.eu) Länk till annan webbplats.
[8] Jfr s. 38-39 m.fl., p. 124-28 m.fl. i EDPB:s Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter (edpb.europa.eu) Länk till annan webbplats.
[9] EDPB:s Riktlinjer 2/2018 för undantagen i artikel 49 enligt Länk till annan webbplats.
förordning 2016/679 (edpb.europa.eu) Länk till annan webbplats.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: