Överföra personuppgifter till tredjeland
Striktare regler gäller när företag ska överföra personuppgifter till ett tredjeland. Det vill säga till ett land utanför EU/EES-området. EU-kommissionen kan dock besluta att ett visst land utanför EU/EES säkerställer en så kallad adekvat skyddsnivå, och göra undantag för det landet.
Företag måste vidta lämpliga skyddsåtgärder
Företag kan överföra personuppgifter till ett tredjeland, men måste vid sådana fall vidta lämpliga skyddsåtgärder och ha stöd i GDPR för överföringen. Begreppet tredjeland innebär inom GDPR att personuppgifterna blir överförda till ett land där GDPR inte gäller.
Om företaget använder bindande företagsbestämmelser eller standardavtalsklausuler kan det vara tillåtet. Däremot måste registrerade ha möjlighet att få en domstol att pröva behandlingen.
Bindande företagsbestämmelser
För att få använda bindande företagsbestämmelser, måste en dataskyddsmyndighet ge ett godkännande. En företagskoncern som är verksam i flera länder med sina företag kan skapa bindande företagsbestämmelser. Däremot måste den Europeiska dataskyddsstyrelsen ge sitt yttrande innan en dataskyddsmyndighet kan ge ett godkännande till bestämmelserna.
Standardavtalsklausuler
Det finns standardavtalsklausuler som EU-kommissionen har tagit fram. På engelska är de kallade för Standard Contractual Clauses (SCC). Detta består av ett dokument som utgör ett avtal. SCC ska ingås mellan den aktör som överför personuppgifterna och den aktör i ett tredjeland som tar emot personuppgifterna.
Om standardavtalsklausulerna är med i ett avtal mellan företaget som överför personuppgifterna och aktören i det tredjelandet, är det tillåtet att överföra personuppgifterna. Användningen av SCC utgör en form av skyddsåtgärd. Däremot är det förbjudet att göra någon ändring i klausulerna. Men det är tillåtet att inkludera nya klausuler som är affärsrelaterade. Detta gäller under förutsättning att det inte strider mot någon av de andra klausulerna i standardavtalet.
Standardavtalsklausulerna blev uppdaterade år 2021. Företag bör därför se till att i sina aktiva affärsrelationer, uppdatera eventuella ingångna standardavtalsklausuler till den senaste versionen.. Företag ska även se till att framöver enbart använda den senaste versionen.
Länder med adekvat skyddsnivå
Hög skyddsnivå enligt EU-kommissionen
GDPR gäller för alla länder inom EU, men EU-kommissionen kan besluta att ett tredjeland har en tillräckligt hög skyddsnivå enligt deras nationella lagstiftning (adekvat skyddsnivå). Dessutom tittar EU-kommissionen bland annat på huruvida det tredjelandet ifråga respekterar de mänskliga rättigheterna och de rättsliga möjligheterna för registrerade.
Om EU-kommissionen har tagit ett beslut om att ett visst tredjeland säkerställer en adekvat skyddsnivå, är det tillåtet att överföra personuppgifter till det tredjelandet ifråga, som om det ingick i EU/EES-området.
Tänk på att det är EU-kommissionen som bestämmer detta och det är inte enskilda företag som får göra bedömningen.
Oberoende tillsynsmyndigheter
En annan del som EU-kommissionen analyserar vid beslut om personuppgifter får bli överförda till ett tredjeland på samma villkor som övriga EU-länder, är om det finns oberoende tillsynsmyndigheter i det tredjelandet.
Det finns ett flertal länder som säkerställer en adekvat skyddsnivå enligt EU-kommissionens bedömning. Följande länder är några exempel:
– Japan
– Nya Zeeland
– Schweiz
– Storbritannien
– Uruguay
– Sydkorea
Besluten gäller enbart under ett visst antal år, sedan behöver EU-kommissionen utföra en ny bedömning och utvärdering.
Privacy Shield-avtalet är ogiltigförklarat av EU-domstolen
Den 16 juli 2020 ogiltigförklarades Privacy Shield-avtalet mellan EU och USA, och därför är det inte längre tillåtet att överföra personuppgifter till USA med stöd i Privacy Shield. Till skillnad från överföring av personuppgifter till exempelvis Schweiz eller Japan, som är två länder som uppfyller en adekvat skyddsnivå enligt EU-kommissionen.
USA är med andra ord ett tredjeland och vid en överföring av personuppgifter till USA, behöver företag utföra en konsekvensbedömning avseende dataöverföringar. På engelska är detta kallat för Transfer Impact Assessment (TIA).
Hur Brexit har påverkat överföring av personuppgifter till Storbritannien
När Storbritannien gick ur EU år 2021, slutade GDPR att gälla där. Däremot har de en liknande inhemsk lagstiftning och EU-kommissionen har beslutat att Storbritannien uppfyller en adekvat skyddsnivå. Därför behöver man inte beakta reglerna i kapitel 5 GDPR när man ska överföra personuppgifter till Storbritannien. Däremot måste behandlingen av personuppgifterna i övriga delar uppfylla reglerna i GDPR i övriga delar.
Överföra personuppgifter till tredjeland som inte har fått ett beslut från EU-kommissionen om likvärdigt dataskydd
Det kan vara tillåtet att överföra personuppgifter till ett tredjeland i vissa fall, även fast EU-kommissionen inte har beslutat att landet uppfyller en adekvat skyddsnivå. Däremot är det bra som företag att analysera om överföringen är nödvändig eller inte, och om det finns andra alternativ, eftersom det medför högre krav på företaget att överföra personuppgifter till ett tredjeland.
Exempel på när företag får överföra personuppgifter till tredjeland
– Om ett företag får ett klart och uttryckligt samtycke till överföringen från den registrerade. Dessutom måste riskerna med överföringen framgå till den registrerade innan denne lämnar samtycket.
– När företaget behöver göra överföringen för att kunna fullfölja ett avtal med den registrerade.
– Om företaget behöver försvara ett rättsligt anspråk. Detsamma gäller om företaget ska fastställa eller göra anspråket gällande.
Definition och betydelse av gränsöverskridande behandling
Ett företag utför en gränsöverskridande personuppgiftsbehandling om företaget har verksamhetsställen i mer än en medlemsstat och behandlar personuppgifterna i dessa inom ramen för verksamheten. Gränsöverskridande behandling personuppgifter föreligger även om ett företag utför en behandling inom enbart ett verksamhetsställe, men som i stor grad påverkar eller sannolikt kommer att påverka registrerade i flera medlemsstater. Det kan vara både den personuppgiftsansvarige eller personuppgiftsbiträdet som utför en gränsöverskridande personuppgiftsbehandling.
Denna typ av behandling innebär alltså att ett företag utför en behandling av personuppgifter i som har en anknytning till fler länder inom EU/EES.området. Till skillnad från behandling av personuppgifter i tredjeland, som innebär att företaget behandlar personuppgifter utanför EU/EES-området där GDPR inte gäller.
Alla länder där GDPR gäller har en tillsynsmyndighet. I Sverige är det IMY (Integritetsskyddsmyndigheten) som tidigare hette Dataskyddsmyndigheten. Om det inträffar en personuppgiftsincident, ska företaget i vissa fall rapportera det till den nationella tillsynsmyndigheten. Registrerade har rätt att vända sig till en tillsynsmyndighet i vilket land som helst, men företaget ska vända sig till rätt tillsynsmyndighet vid exempelvis eventuella personuppgiftsincidenter.
Praktiska exempel på gränsöverskridande behandling av personuppgifter
Ett företag kan vara verksamt i enbart Sverige, men behandlingen av personuppgifterna kommer sannolikt att påverka registrerade i till exempel Tyskland och Sverige.
Det kan också vara så att ett företag är verksamt i två eller flera medlemsländer, och behandlar personuppgifter tillhörande registrerade dessa länder genom ett utav sina verksamhetsställen.
Vid båda ovan angivna exempelfallen är det tal om gränsöverskridande behandling av personuppgifter.
Observera att tillsynsmyndigheterna i EU samarbetar. Det innebär bland annat att en registrerad kan lämna in ett klagomål till en tillsynsmyndighet i Tyskland som avser en behandling i Sverige, och därmed ska den tyska tillsynsmyndigheten överlåta ärendet till den svenska. Däremot kan det vara så att ett företag behandlar personuppgifter i flera länder och vid sådana fall samarbetar tillsynsmyndigheterna i dessa länderna med varandra. Det är dock enbart en av tillsynsmyndigheterna som leder ärendet.
Anmäla gränsöverskridande personuppgifterincidenter
Här är en länk till IMY där det går att anmäla personuppgiftsincidenter som är gränsöverskridande via deras e-tjänst. Alla personuppgiftsincidenter ska dock inte bli rapporterade och det är därför bra att först se om det är tillämpligt. Dessutom kan det i vissa fall vara nödvändigt att behöva kontakta de registrerade som blivit påverkad av incidenten.
Däremot är det viktigt att alltid dokumentera samtliga inträffade personuppgiftsincidenter internt, eftersom det är ett krav enligt GDPR. etta gäller både för incidenter som måste bli anmälda till tillsynsmyndigheten inom 72 timmar, och sådana mindre allvarliga incidenter som inte behöver bli anmälda till tillsynsmyndigheten.
Handläggning av gränsöverskridande ärenden
När ett ärende är gränsöverskridande, granskar tillsynsmyndigheterna i de berörda länderna ärendet gemensamt. Därför kan det ta längre tid att handlägga ett sådant ärende.
Om ni vänder er till IMY och ärendet kommer att handläggas av flera tillsynsmyndigheter gemensamt, kommer IMY informera er om det. Dessutom kan det vara så att de olika myndigheterna inte kommer överens och vid sådana fall vänder de sig till den Europeiska dataskyddsstyrelsen.
Personuppgifter
Definitionen av en personuppgift är när det går att koppla en uppgift till en fysiskt levande person, till exempel namn och personnummer. Uppgifter om juridiska personer är alltså inte personuppgifter. Detsamma gäller uppgifter om avlidna personer. Personuppgifter kan vara tydliga eller mindre tydliga. Dessutom är det skillnad på subjektiva och objektiva personuppgifter.
Vissa personuppgifter är känsligare än andra och det finns fyra grupper av integritetskänsliga personuppgifter, varav känsliga personuppgifter tillhör den första gruppen. Enligt huvudregeln är det förbjudet att behandla känsliga personuppgifter, men det finns undantag. Exempel på känsliga personuppgifter är uppgifter om hälsa såsom sjukfrånvaro, religion och politiska åsikter m.m.