Konsekvensbedömning av dataöverföringar (TIA)
Om ett företag som behandlar personuppgifter avser att överföra uppgifterna till ett land utanför EU/EES-området, så kallat tredjeland, ska företaget genomföra en konsekvensbedömning av dataöverföringar. På engelska är detta kallat för en Transfer Impact Assessment (”TIA”).
Konsekvensbedömning av dataöverföringar
Företaget bör upprätta interna riktlinjer som gäller vid genomförandet av en konsekvensbedömning av dataöverföringar avseende överföringar av personuppgifter till tredjeland som utförs av företaget.
De interna riktlinjerna som företaget skapar, bör genomgås minst en gång per år samt vid behov, för att säkerställa att informationen är korrekt och uppdaterad.
Genomförandet av konsekvensbedömning av dataöverföringar är ett krav sedan “Schrems II-domen” C-311/18 från EU-domstolen den 16 juli 2020. Kravet har även blivit inkluderat i de nya standardavtalsklausulerna (SCC) som blev publicerade i juni år 2021 av EU-kommissionen. Standardavtalsklausulerna kan bli använda i samband med dataöverföringar till ett tredjeland.
Adekvat skyddsnivå
Enligt GDPR får företag enbart överföra personuppgifter till ett tredjeland, som EU-kommissionen inte har beslutat säkerställer en adekvat skyddsnivå, om företaget har vidtagit lämpliga skydds- och säkerhetsåtgärder. Dessutom måste överföringen ifråga vara villkorad av att de registrerade kommer att ha lagstadgade rättigheter och effektiva rättsmedel tillgängliga.
Exempel på lämpliga skyddsåtgärder
Exempel på vad som kan utgöra lämpliga skyddsåtgärder framgår i artikel 46 i GDPR, och avser bland annat följande:
– Bindande företagsbestämmelser (enligt artikel 47 GDPR).
– Standardiserade dataskyddsbestämmelser som antas av kommissionen, eller av en tillsynsmyndighet och godkänts av kommissionen (såsom de nya SCC från år 2021).
– En godkänd uppförandekod (enligt artikel 40 GDPR).
– En godkänd certifieringsmekanism (enligt artikel 42 GDPR).
Innan en överföring av personuppgifter sker till ett tredjeland, är det viktigt att företaget som avser att genomföra överföringen granskar lagarna i det tredjelandet. Exempelvis är det viktigt att lagarna där inte omfattar eventuella krav på att lämna ut personuppgifter eller andra åtgärder för att bevilja åtkomst för offentliga myndigheter.
Lagar och förfaranden i det tredjelandet ska vara förenliga med syftet av de grundläggande rättigheterna och friheterna som gäller inom EU. De får inte heller gå utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle. Detta framgår bland annat av klausul 14. a) i SCC 2021.
Vem kan vara Uppgiftsutförare respektive Uppgiftsinförare?
Standaravtalsklausulerna använder termerna Uppgiftsutförare respektive Uppgiftsinförare. Nedan följer en beskrivning av dessa:
Uppgiftsutföraren är den part som exporterar personuppgifter till ett tredjeland som EU-kommissionen inte anser säkerställer en så kallad adekvat skyddsnivå (även kallat för ”icke-vitlistat tredjeland”). Uppgiftsutföraren kan vara en personuppgiftsansvarig, gemensamt personuppgiftsansvarig eller ett personuppgiftsbiträde (eller underbiträde).
Uppgiftsinföraren är den part som befinner sig i ett icke-vitlistat tredjeland och som tar emot exporterade personuppgifter från en Uppgiftsutförare. Uppgiftsinföraren kan vara en personuppgiftsansvarig, gemensamt personuppgiftsansvarig eller ett personuppgiftsbiträde (eller underbiträde).
När ska en konsekvensbedömning av dataöverföringar genomföras?
En konsekvensbedömning av dataöverföringar ska bli skriftligen dokumenterad. Bedömningen ska även bli genomförd innan personuppgifter blir överförda till mottagare i ett icke-vitlistat tredjeland. Bedömningen ska enbart bli utförd för ett land och en mottagare åt gången.
Dessutom ska en ny konsekvensbedömning av dataöverföringar bli utförd för varje mottagare av personuppgifter vid en vidareöverföring av personuppgifterna. Vidareöverföring av personuppgifter avser överföring av de personuppgifter som Uppgiftsinföraren har mottagit från Uppgiftsutföraren, och som blir vidareöverförda från Uppgiftsinföraren till en annan tredje part.
I vissa fall måste en separat konsekvensbedömning bli utförd för sådan vidareöverföring av personuppgifter. Detta gäller om den mottagande tredje parten finns sig i ett tredjeland som EU-kommissionen inte anser säkerställer en adekvat skyddsnivå.
Vad ska en konsekvensbedömning av dataöverföringar innehålla?
Konsekvensbedömningen måste innehålla en bedömning av:
– det tredjelandets lagar,
– om det finns oberoende tillsynsmyndigheter där,
– eventuella internationella åtaganden från landet.
Sådan bedömning kan genomföras på exempelvis följande grunder: intern juridisk analys, extern juridisk rådgivning, stöd från uppgiftsinföraren, juridisk forskning, offentlig dokumentation, statistik m.m. Genomförd konsekvensbedömning av dataöverföringar ska bli övervakad löpande. Den ska även bli uppdaterad mot bakgrund av eventuella ändringar i lagarna i det tredjelandet.
Exempel på innehåll i en konsekvensbedömning av dataöverföringar
En konsekvensbedömning av dataöverföringar består av olika typer av utvärderingar. Nedan följer en kort summering av innehåll som bedömningen bör inkludera.
Beskrivning av överföringen
Det är viktigt att inkludera en beskrivning av överföringen ifråga, genom att ange vem som är Uppgiftsutföraren och i vilket land denne befinner sig. Motsvarande information bör även framgå avse Uppgiftsinföraren.
Eventuell planerad startdag för överföringen av personuppgifterna och syftet med överföringen bör också framgå. Även information om vilka kategorier av registrerade och personuppgifter som är omfattade av överföringen.
Källan till personuppgifterna, det vill säga vart personuppgifterna kommer ifrån, är också bra att ange.
Dessutom är det bra att ange hur länge den genomföra bedömningen ska gälla innan en ny utvärdering behöver bli genomförd. Det kan vara så att det tredjelandet ifråga genomgår lagändrningar eller liknande. Därför ska giltigheten av en konsekvensbedömning av dataöverföringar vara tidsbegränsad och löpande bli utvärderad.
Beskrivningen av överföringen av personuppgifterna bör också inkludera information om ifall det kommer att ske en vidareöverföring av personuppgifterna till någon annan tredje part eller inte. Om sådan vidareöverföring kommer att ske, är dt bra att inkludera information om vilka länder som är mottagarna.
Utvärdering av överföringen
Nästa steg är att utvärdera överföringen i sig och att analysera eventuella alternativ till överföringen ifråga. Exempelvis bör Uppgiftsutföraren analysera om det är möjligt att istället överföra personuppgifterna till ett land som är vit-listat eller inom EU/EES-området, sett ur ett tekniskt, praktiskt samt ekonomiskt perspektiv. Om det är möjligt, bör valet att inte göra detta bli motiverat.
Det bör även framgå om Uppgiftsutföraren använder några säkerhetsåtgärder för att överföra personuppgifterna ifråga. Exempelvis att de blir överförda i krypterat eller avidentifierat format eller annan säkerhetsåtgärd.
Bedömningen bör också innehålla information om ifall det finns något skydd för personuppgifterna som blir överförda eller någon överföringsmekanism som är godkänd av GDPR. Ett exempel är EU:s standarsavtalsklausuler. Om svaret är ja, bör det anges om det är möjligt att förvänta att bestämmelserna enligt överföringsmekanismen kommer att bli respekterade och vara rättsligt verkställbart.
Uppgiftutföraren bör även utreda om det finns något gällande undantag enligt artikel 49 i GDPR att överföra personuppgifterna till tredjeland.
Utvärdering av mottagarlandet
Det ska tydligt framgå vilket som är mottagarlandet ifråga. En mycket central del av konsekvensbedömningen består i att utvärdera mottagarlandet. Särskilt de tillämpliga lagarna avseende dataskydd och behandling av personuppgifter som gäller i det landet.
Uppgiftsutföraren bör bland annat ta reda på om mottagarlandet har någon oberoende tillsynsmyndighet, där personer (inklusive EU-medborgare) kan anmäla företag angående ärenden som handlar om integritet eller behandling av personuppgifter.
Det är viktigt att ta reda på vilka integritets- och säkerhetsstandarder som tillämpas i mottagarlandet. Exempelvis internationella avtal om dataskydd och cybersäkerhet. Såsom OECD: s riktlinjer för dataskydd, konvention 108, Budapestkonventionen om it -brottslighet, FN: s stadga om mänskliga rättigheter m.fl. Uppgiftsutföraren bör även analysera om det finns respekt för mänskliga rättigheter i mottagarlandet.
Sannolikheten för att regeringen i mottagarlandet ska komma åt de överföra personuppgifterna bör också bli analyserad och dokumenterad i konsekvensbedömningen. I samband med detta är det bra att ta reda på om det finns en historik av att regeringen i landet har begärt att få åtkomst till personuppgifter från företag. Dessutom är det viktigt att ta red på om det finns juridiska medel för att utmana ett sådant eventuellt myndighetsbeslut.
I avtalet som ingås mellan Uppgiftsutföraren och Uppgiftsinföraren, kan parterna avtala om Uppgiftsinföraren är skyldig att försvara de aktuella personuppgifterna mot mottagarlandets regerings/myndigheters åtkomstförsök, eller inte.
Utvärdering av tekniska och organisatoriska säkerhetsåtgärder
Både Uppgiftsutföraren och Uppgiftsinföraren kan tillämpa olika tekniska och organisatoriska säkerhetsåtgärder för överföringen av personuppgifterna. Dessa bör vara skriftligen dokumenterade i konsekvensbedömningen. Syftet med detta är att analysera och dokumentera om det finns några hot eller potentiella risker när det kommer till datasäkerhet och integritet.
Summering av utvärderingen
Vid detta slutliga steg ska uppgiftsutföraren bedöma om den tilltänkta överföringen ifråga är tillåten eller inte. Denna slutsats av utvärderingen ska ske efter genomförd konsekvensbedömning och efter beaktande av tillämplig dataskyddslagstiftning.