Överföra personuppgifter till tredjeland

Striktare regler gäller när företag ska överföra personuppgifter till ett tredjeland. Det vill säga till ett land utanför EU/EES-området. EU-kommissionen kan dock besluta att ett visst land utanför EU/EES säkerställer en så kallad adekvat skyddsnivå, och göra undantag för det landet.

Företag måste vidta lämpliga skyddsåtgärder

Företag kan överföra personuppgifter till ett tredjeland, men måste vid sådana fall vidta lämpliga skyddsåtgärder och ha stöd i GDPR för överföringen. Begreppet tredjeland innebär inom GDPR att personuppgifterna blir överförda till ett land där GDPR inte gäller.

Om företaget använder bindande företagsbestämmelser eller standardavtalsklausuler kan det vara tillåtet. Däremot måste registrerade ha möjlighet att få en domstol att pröva behandlingen.

Bindande företagsbestämmelser

För att få använda bindande företagsbestämmelser, måste en dataskyddsmyndighet ge ett godkännande. En företagskoncern som är verksam i flera länder med sina företag kan skapa bindande företagsbestämmelser. Däremot måste den Europeiska dataskyddsstyrelsen ge sitt yttrande innan en dataskyddsmyndighet kan ge ett godkännande till bestämmelserna.

Standardavtalsklausuler

Det finns standardavtalsklausuler som EU-kommissionen har tagit fram. På engelska är de kallade för Standard Contractual Clauses (SCC). Detta består av ett dokument som utgör ett avtal. SCC ska ingås mellan den aktör som överför personuppgifterna och den aktör i ett tredjeland som tar emot personuppgifterna.

Om standardavtalsklausulerna är med i ett avtal mellan företaget som överför personuppgifterna och aktören i det tredjelandet, är det tillåtet att överföra personuppgifterna. Användningen av SCC utgör en form av skyddsåtgärd. Däremot är det förbjudet att göra någon ändring i klausulerna. Men det är tillåtet att inkludera nya klausuler som är affärsrelaterade. Detta gäller under förutsättning att det inte strider mot någon av de andra klausulerna i standardavtalet.

Standardavtalsklausulerna blev uppdaterade år 2021. Företag bör därför se till att i sina aktiva affärsrelationer, uppdatera eventuella ingångna standardavtalsklausuler till den senaste versionen.. Företag ska även se till att framöver enbart använda den senaste versionen.

Länder med adekvat skyddsnivå

Hög skyddsnivå enligt EU-kommissionen

GDPR gäller för alla länder inom EU, men EU-kommissionen kan besluta att ett tredjeland har en tillräckligt hög skyddsnivå enligt deras nationella lagstiftning (adekvat skyddsnivå). Dessutom tittar EU-kommissionen bland annat på huruvida det tredjelandet ifråga respekterar de mänskliga rättigheterna och de rättsliga möjligheterna för registrerade.

Om EU-kommissionen har tagit ett beslut om att ett visst tredjeland säkerställer en adekvat skyddsnivå, är det tillåtet att överföra personuppgifter till det tredjelandet ifråga, som om det ingick i EU/EES-området.

Tänk på att det är EU-kommissionen som bestämmer detta och det är inte enskilda företag som får göra bedömningen.

Oberoende tillsynsmyndigheter

En annan del som EU-kommissionen analyserar vid beslut om personuppgifter får bli överförda till ett tredjeland på samma villkor som övriga EU-länder, är om det finns oberoende tillsynsmyndigheter i det tredjelandet.

Det finns ett flertal länder som säkerställer en adekvat skyddsnivå enligt EU-kommissionens bedömning. Följande länder är några exempel:

– Japan

– Nya Zeeland

– Schweiz

– Storbritannien

– Uruguay

– Sydkorea

Besluten gäller enbart under ett visst antal år, sedan behöver EU-kommissionen utföra en ny bedömning och utvärdering.

Privacy Shield-avtalet är ogiltigförklarat av EU-domstolen

Den 16 juli 2020 ogiltigförklarades Privacy Shield-avtalet mellan EU och USA, och därför är det inte längre tillåtet att överföra personuppgifter till USA med stöd i Privacy Shield. Till skillnad från överföring av personuppgifter till exempelvis Schweiz eller Japan, som är två länder som uppfyller en adekvat skyddsnivå enligt EU-kommissionen.

USA är med andra ord ett tredjeland och vid en överföring av personuppgifter till USA, behöver företag utföra en konsekvensbedömning avseende dataöverföringar. På engelska är detta kallat för Transfer Impact Assessment (TIA).

Hur Brexit har påverkat överföring av personuppgifter till Storbritannien

När Storbritannien gick ur EU år 2021, slutade GDPR att gälla där. Däremot har de en liknande inhemsk lagstiftning och EU-kommissionen har beslutat att Storbritannien uppfyller en adekvat skyddsnivå. Därför behöver man inte beakta reglerna i kapitel 5 GDPR när man ska överföra personuppgifter till Storbritannien. Däremot måste behandlingen av personuppgifterna i övriga delar uppfylla reglerna i GDPR i övriga delar.

Överföra personuppgifter till tredjeland som inte har fått ett beslut från EU-kommissionen om likvärdigt dataskydd

Det kan vara tillåtet att överföra personuppgifter till ett tredjeland i vissa fall, även fast EU-kommissionen inte har beslutat att landet uppfyller en adekvat skyddsnivå. Däremot är det bra som företag att analysera om överföringen är nödvändig eller inte, och om det finns andra alternativ, eftersom det medför högre krav på företaget att överföra personuppgifter till ett tredjeland.

Exempel på när företag får överföra personuppgifter till tredjeland

– Om ett företag får ett klart och uttryckligt samtycke till överföringen från den registrerade. Dessutom måste riskerna med överföringen framgå till den registrerade innan denne lämnar samtycket.

– När företaget behöver göra överföringen för att kunna fullfölja ett avtal med den registrerade.

– Om företaget behöver försvara ett rättsligt anspråk. Detsamma gäller om företaget ska fastställa eller göra anspråket gällande.

Definition och betydelse av gränsöverskridande behandling

Ett företag utför en gränsöverskridande personuppgiftsbehandling om företaget har verksamhetsställen i mer än en medlemsstat och behandlar personuppgifterna i dessa inom ramen för verksamheten. Gränsöverskridande behandling personuppgifter föreligger även om ett företag utför en behandling inom enbart ett verksamhetsställe, men som i stor grad påverkar eller sannolikt kommer att påverka registrerade i flera medlemsstater. Det kan vara både den personuppgiftsansvarige eller personuppgiftsbiträdet som utför en gränsöverskridande personuppgiftsbehandling.

Denna typ av behandling innebär alltså att ett företag utför en behandling av personuppgifter i som har en anknytning till fler länder inom EU/EES.området. Till skillnad från behandling av personuppgifter i tredjeland, som innebär att företaget behandlar personuppgifter utanför EU/EES-området där GDPR inte gäller.

Alla länder där GDPR gäller har en tillsynsmyndighet. I Sverige är det IMY (Integritetsskyddsmyndigheten) som tidigare hette Dataskyddsmyndigheten. Om det inträffar en personuppgiftsincident, ska företaget i vissa fall rapportera det till den nationella tillsynsmyndigheten. Registrerade har rätt att vända sig till en tillsynsmyndighet i vilket land som helst, men företaget ska vända sig till rätt tillsynsmyndighet vid exempelvis eventuella personuppgiftsincidenter.

Praktiska exempel på gränsöverskridande behandling av personuppgifter

Ett företag kan vara verksamt i enbart Sverige, men behandlingen av personuppgifterna kommer sannolikt att påverka registrerade i till exempel Tyskland och Sverige.

Det kan också vara så att ett företag är verksamt i två eller flera medlemsländer, och behandlar personuppgifter tillhörande registrerade dessa länder genom ett utav sina verksamhetsställen.

Vid båda ovan angivna exempelfallen är det tal om gränsöverskridande behandling av personuppgifter.

Observera att tillsynsmyndigheterna i EU samarbetar. Det innebär bland annat att en registrerad kan lämna in ett klagomål till en tillsynsmyndighet i Tyskland som avser en behandling i Sverige, och därmed ska den tyska tillsynsmyndigheten överlåta ärendet till den svenska. Däremot kan det vara så att ett företag behandlar personuppgifter i flera länder och vid sådana fall samarbetar tillsynsmyndigheterna i dessa länderna med varandra. Det är dock enbart en av tillsynsmyndigheterna som leder ärendet.

Anmäla gränsöverskridande personuppgifterincidenter

Här är en länk till IMY där det går att anmäla personuppgiftsincidenter som är gränsöverskridande via deras e-tjänst. Alla personuppgiftsincidenter ska dock inte bli rapporterade och det är därför bra att först se om det är tillämpligt. Dessutom kan det i vissa fall vara nödvändigt att behöva kontakta de registrerade som blivit påverkad av incidenten.

Däremot är det viktigt att alltid dokumentera samtliga inträffade personuppgiftsincidenter internt, eftersom det är ett krav enligt GDPR. etta gäller både för incidenter som måste bli anmälda till tillsynsmyndigheten inom 72 timmar, och sådana mindre allvarliga incidenter som inte behöver bli anmälda till tillsynsmyndigheten.

Handläggning av gränsöverskridande ärenden

När ett ärende är gränsöverskridande, granskar tillsynsmyndigheterna i de berörda länderna ärendet gemensamt. Därför kan det ta längre tid att handlägga ett sådant ärende.

Om ni vänder er till IMY och ärendet kommer att handläggas av flera tillsynsmyndigheter gemensamt, kommer IMY informera er om det. Dessutom kan det vara så att de olika myndigheterna inte kommer överens och vid sådana fall vänder de sig till den Europeiska dataskyddsstyrelsen.

Personuppgifter

Definitionen av en personuppgift är när det går att koppla en uppgift till en fysiskt levande person, till exempel namn och personnummer. Uppgifter om juridiska personer är alltså inte personuppgifter. Detsamma gäller uppgifter om avlidna personer. Personuppgifter kan vara tydliga eller mindre tydliga. Dessutom är det skillnad på subjektiva och objektiva personuppgifter.

Vissa personuppgifter är känsligare än andra och det finns fyra grupper av integritetskänsliga personuppgifter, varav känsliga personuppgifter tillhör den första gruppen. Enligt huvudregeln är det förbjudet att behandla känsliga personuppgifter, men det finns undantag. Exempel på känsliga personuppgifter är uppgifter om hälsa såsom sjukfrånvaro, religion och politiska åsikter m.m.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.