GDPR – Bedömningar
Konsekvensbedömning av dataöverföringar (TIA)
Om ett företag som behandlar personuppgifter avser att överföra uppgifterna till ett land utanför EU/EES-området, så kallat tredjeland, ska företaget genomföra en konsekvensbedömning av dataöverföringar. På engelska är detta kallat för en Transfer Impact Assessment (”TIA”).
Konsekvensbedömning av dataöverföringar
Företaget bör upprätta interna riktlinjer som gäller vid genomförandet av en konsekvensbedömning av dataöverföringar avseende överföringar av personuppgifter till tredjeland som utförs av företaget.
De interna riktlinjerna som företaget skapar, bör genomgås minst en gång per år samt vid behov, för att säkerställa att informationen är korrekt och uppdaterad.
Genomförandet av konsekvensbedömning av dataöverföringar är ett krav sedan ”Schrems II-domen” C-311/18 från EU-domstolen den 16 juli 2020. Kravet har även blivit inkluderat i de nya standardavtalsklausulerna (SCC) som blev publicerade i juni år 2021 av EU-kommissionen. Standardavtalsklausulerna kan bli använda i samband med dataöverföringar till ett tredjeland.
Adekvat skyddsnivå
Enligt GDPR får företag enbart överföra personuppgifter till ett tredjeland, som EU-kommissionen inte har beslutat säkerställer en adekvat skyddsnivå, om företaget har vidtagit lämpliga skydds- och säkerhetsåtgärder. Dessutom måste överföringen ifråga vara villkorad av att de registrerade kommer att ha lagstadgade rättigheter och effektiva rättsmedel tillgängliga.
Det finns sex (6) rättsliga grunder i GDPR:
- Samtycke
- Avtal med registrerade
- Rättslig förpliktelse
- Skydda grundläggande intresse
- Intresseavvägning
- Myndighetsutövning och uppgift av allmänt intresse
Exempel på lämpliga skyddsåtgärder
Exempel på vad som kan utgöra lämpliga skyddsåtgärder framgår i artikel 46 i GDPR, och avser bland annat följande:
– Bindande företagsbestämmelser (enligt artikel 47 GDPR).
– Standardiserade dataskyddsbestämmelser som antas av kommissionen, eller av en tillsynsmyndighet och godkänts av kommissionen (såsom de nya SCC från år 2021).
– En godkänd uppförandekod (enligt artikel 40 GDPR).
– En godkänd certifieringsmekanism (enligt artikel 42 GDPR).
Innan en överföring av personuppgifter sker till ett tredjeland, är det viktigt att företaget som avser att genomföra överföringen granskar lagarna i det tredjelandet. Exempelvis är det viktigt att lagarna där inte omfattar eventuella krav på att lämna ut personuppgifter eller andra åtgärder för att bevilja åtkomst för offentliga myndigheter.
Lagar och förfaranden i det tredjelandet ska vara förenliga med syftet av de grundläggande rättigheterna och friheterna som gäller inom EU. De får inte heller gå utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle. Detta framgår bland annat av klausul 14. a) i SCC 2021.
Vem kan vara Uppgiftsutförare respektive Uppgiftsinförare?
Standaravtalsklausulerna använder termerna Uppgiftsutförare respektive Uppgiftsinförare. Nedan följer en beskrivning av dessa:
Uppgiftsutföraren är den part som exporterar personuppgifter till ett tredjeland som EU-kommissionen inte anser säkerställer en så kallad adekvat skyddsnivå (även kallat för ”icke-vitlistat tredjeland”). Uppgiftsutföraren kan vara en personuppgiftsansvarig, gemensamt personuppgiftsansvarig eller ett personuppgiftsbiträde (eller underbiträde).
Uppgiftsinföraren är den part som befinner sig i ett icke-vitlistat tredjeland och som tar emot exporterade personuppgifter från en Uppgiftsutförare. Uppgiftsinföraren kan vara en personuppgiftsansvarig, gemensamt personuppgiftsansvarig eller ett personuppgiftsbiträde (eller underbiträde).
När ska en konsekvensbedömning av dataöverföringar genomföras?
En konsekvensbedömning av dataöverföringar ska bli skriftligen dokumenterad. Bedömningen ska även bli genomförd innan personuppgifter blir överförda till mottagare i ett icke-vitlistat tredjeland. Bedömningen ska enbart bli utförd för ett land och en mottagare åt gången.
Dessutom ska en ny konsekvensbedömning av dataöverföringar bli utförd för varje mottagare av personuppgifter vid en vidareöverföring av personuppgifterna. Vidareöverföring av personuppgifter avser överföring av de personuppgifter som Uppgiftsinföraren har mottagit från Uppgiftsutföraren, och som blir vidareöverförda från Uppgiftsinföraren till en annan tredje part.
I vissa fall måste en separat konsekvensbedömning bli utförd för sådan vidareöverföring av personuppgifter. Detta gäller om den mottagande tredje parten finns sig i ett tredjeland som EU-kommissionen inte anser säkerställer en adekvat skyddsnivå.
Vad ska en konsekvensbedömning av dataöverföringar innehålla?
Konsekvensbedömningen måste innehålla en bedömning av:
– det tredjelandets lagar,
– om det finns oberoende tillsynsmyndigheter där,
– eventuella internationella åtaganden från landet.
Sådan bedömning kan genomföras på exempelvis följande grunder: intern juridisk analys, extern juridisk rådgivning, stöd från uppgiftsinföraren, juridisk forskning, offentlig dokumentation, statistik m.m. Genomförd konsekvensbedömning av dataöverföringar ska bli övervakad löpande. Den ska även bli uppdaterad mot bakgrund av eventuella ändringar i lagarna i det tredjelandet.
Exempel på innehåll i en konsekvensbedömning av dataöverföringar
Det är den personuppgiftsansvarige som måste se till att implementera lämpliga tekniska och organisatoriska åtgärder för att kunna följa GDPR. Till exempel genom att skydda personuppgifterna genom att ha ett virusskydd och backup filer, instruktioner och program som gör det enkelt för de anställda att följa regelverket.
Beskrivning av överföringen
Det är viktigt att inkludera en beskrivning av överföringen ifråga, genom att ange vem som är Uppgiftsutföraren och i vilket land denne befinner sig. Motsvarande information bör även framgå avse Uppgiftsinföraren.
Eventuell planerad startdag för överföringen av personuppgifterna och syftet med överföringen bör också framgå. Även information om vilka kategorier av registrerade och personuppgifter som är omfattade av överföringen.
Källan till personuppgifterna, det vill säga vart personuppgifterna kommer ifrån, är också bra att ange.
Dessutom är det bra att ange hur länge den genomföra bedömningen ska gälla innan en ny utvärdering behöver bli genomförd. Det kan vara så att det tredjelandet ifråga genomgår lagändrningar eller liknande. Därför ska giltigheten av en konsekvensbedömning av dataöverföringar vara tidsbegränsad och löpande bli utvärderad.
Beskrivningen av överföringen av personuppgifterna bör också inkludera information om ifall det kommer att ske en vidareöverföring av personuppgifterna till någon annan tredje part eller inte. Om sådan vidareöverföring kommer att ske, är dt bra att inkludera information om vilka länder som är mottagarna.
Utvärdering av överföringen
Nästa steg är att utvärdera överföringen i sig och att analysera eventuella alternativ till överföringen ifråga. Exempelvis bör Uppgiftsutföraren analysera om det är möjligt att istället överföra personuppgifterna till ett land som är vit-listat eller inom EU/EES-området, sett ur ett tekniskt, praktiskt samt ekonomiskt perspektiv. Om det är möjligt, bör valet att inte göra detta bli motiverat.
Det bör även framgå om Uppgiftsutföraren använder några säkerhetsåtgärder för att överföra personuppgifterna ifråga. Exempelvis att de blir överförda i krypterat eller avidentifierat format eller annan säkerhetsåtgärd.
Bedömningen bör också innehålla information om ifall det finns något skydd för personuppgifterna som blir överförda eller någon överföringsmekanism som är godkänd av GDPR. Ett exempel är EU:s standarsavtalsklausuler. Om svaret är ja, bör det anges om det är möjligt att förvänta att bestämmelserna enligt överföringsmekanismen kommer att bli respekterade och vara rättsligt verkställbart.
Uppgiftutföraren bör även utreda om det finns något gällande undantag enligt artikel 49 i GDPR att överföra personuppgifterna till tredjeland.
Utvärdering av mottagarlandet
Både Uppgiftsutföraren och Uppgiftsinföraren kan tillämpa olika tekniska och organisatoriska säkerhetsåtgärder för överföringen av personuppgifterna. Dessa bör vara skriftligen dokumenterade i konsekvensbedömningen. Syftet med detta är att analysera och dokumentera om det finns några hot eller potentiella risker när det kommer till datasäkerhet och integritet.
Summering av utvärderingen: Vid detta slutliga steg ska uppgiftsutföraren bedöma om den tilltänkta överföringen ifråga är tillåten eller inte. Denna slutsats av utvärderingen ska ske efter genomförd konsekvensbedömning och efter beaktande av tillämplig dataskyddslagstiftning.
Behöver ni hjälp med avtal?
Vi kan hjälpa er med att upprätta en Konsekvensbedömning av dataöverföringar (TIA). Alternativt granska och komplettera en befintlig konsekvensbedömning. Våra priser är alltid fasta och inkluderar samtal och genomgång med jurist via dator och telefon.
Vi har skapat olika GDPR-paket som innehåller flera viktiga GDPR-relatera avtal och dokument som företag kan behöva enligt GDPR.
Mer information
Konsekvensbedömning avseende dataskydd
Det är viktigt att företaget gör en konsekvensbedömning för att utreda riskerna med en viss behandling, innan behandlingen blir utförd. Syftet med bedömningen är att förebygga och minimera risker samt skydda människors fri- och rättigheter. Om företaget planerar att genomföra en behandling av personuppgifter som skulle kunna leda till en hög risk för de registrerade, måste en konsekvensbedömning avseende dataskydd bli utförd och dokumenterad i skrift.
Vill du veta mer?
Lär dig mer
Juridikskolor
Vi driver gratis juridikskolor för företagare på LinkedIn och Instagram. På vår hemsida publicerar vi även olika juridiska quiz.