Enligt GDPR är det endast tillåtet att överföra personuppgifter till tredjeland eller internationell organisation om kraven i kapitel V GDPR uppfyllts. Det innebär att överföring behöver stödjas på en s.k. överföringsmekanism. Detta blogginlägg utreder vilka överföringsmekanismer som kan användas enligt dataskyddsförordningen, särskilt vad gäller överföring av personuppgifter vid avsaknad av ett beslut om adekvat skyddsnivå.
Till att börja med, varför har GDPR reglerat detta så specifikt? Det är för att säkerställa att den nivå av skydd som finns inom EU/EES inte ska undergrävas genom att personuppgifter överförs till andra områden eller att lagstiftning i områden som inte lyder under GDPR (tredjeland) blir tillämplig, som inverkar negativt på personuppgiftsskyddet.
Tredjelandsöverföring
Definitionen av att personuppgifter överförs till tredjeland är att personuppgifterna blir tillgängliga för någon i ett land utanför EU eller EES. Det omfattar både faktisk och teoretisk tillgång. Det blir lättare att ge några exempel på när det kan bli aktuellt:
- Exempelvis att ni lagrar personuppgifter i en molntjänst som har sina servrar i EU/EES, men de ägs av ett företag som lyder under annan lagstiftning som innebär att myndighet i tredjeland kan begära tillgång till informationen,
- Ni anlitar ett personuppgiftsbiträde i ett land utanför EU/EES, eller
- Ni skickar dokument som innehåller personuppgifter till en mottagare i ett land utanför EU/ESS.
Överföringsmekanismer i GDPR
Under vissa förutsättningar är det tillåtet att överföra personuppgifter utanför EU/EES. Dessa olika förutsättningar kallas vanligen överföringsmekanismer. Vi kommer i tur och ordning gå igenom de olika alternativ som finns och när de kan användas.
Beslut om adekvat skyddsnivå
Att det finns ett beslut om adekvat skyddsnivå för tredjelandet är en av situationerna då överföring tillåts, vilket stadgas i artikel 45 i GDPR. Detta är den grund för överföring som ni bör kika på först. De länder som EU-kommissionens bedömt erbjuda adekvat skyddsnivå hittar du här.
Var uppmärksam på om det rör sig om överföring av personuppgifter till Kanada eller USA. EU-kommissionen har bedömt att skyddsnivån i länderna är adekvat, men endast på vissa områden eller under särskilda villkor. -Kanada har ett beslut om adekvat skyddsnivå, men det gäller endast om deras nationella lagstiftning för skydd av personuppgifter inom privat sektor är tillämplig på mottagararens personuppgiftsbehandling. -USA fick 10 juli 2023 ett beslut om adekvat skyddsnivå, men det omfattar endast de mottagare som certifierats under EU-U.S. Data Privacy Framework. Se fullständig lista över vilka organisationer i USA som har certifierats här.
Om det inte finns ett beslut från EU-kommissionen om adekvat skyddsnivå kräver GDPR att det finns en annan överföringsmekanism att grunda överföringen på. Nästa överföringsmekanism kallas ”lämpliga skyddsåtgärder” och kan förekomma i lite olika format.
Lämpliga skyddsåtgärder
Vid avsaknad av ett beslut om adekvat skyddsnivå krävs istället att ni vidtagit lämpliga skyddsåtgärder och att lagstadgade rättigheter och effektiva rättsmedel finns tillgängliga för de registrerade.
Vad som anses utgöra lämpliga skyddsåtgärder exemplifieras i andra punkten i artikel 46 i GDPR. Det kan ta formen av:
- Ett rättsligt bindande instrument mellan myndigheter
- Bindande företagsbestämmelser (BCR)
- Standardavtalsklausuler (SCC) som EU-kommissionen antagit
- En godkänd uppförandekod eller godkänd certifieringsmekanism
Överföring av personuppgifter till tredjeland är också tillåten, i två fall, efter tillstånd från tillsynsmyndigheten, där de lämpliga skyddsåtgärderna är i form av:
- Avtalsklausuler (ad hoc-klausuler) mellan den som överför personuppgifter och mottagaren.
- Bestämmelser i administrativa överenskommelser mellan myndigheter.
Nedan går vi igenom varje form av lämpliga skyddsåtgärder. Se respektive rubrik nedan för mer ingående beskrivning.
Rättsligt bindande instrument mellan myndigheter
Om det rör sig om en överföring av personuppgifter från en myndighet i EU till en myndighet i tredjeland kan den grundas på ett rättsligt bindande och verkställbart instrument för att vara tillåtet. Exempel på ett sådant instrument är ett samförståndsavtal eller ett informationsutbytesavtal. Avtalet kan vara mellan en eller flera myndigheter inom EU/EES och en eller flera myndigheter i tredjeland.1
Europeiska dataskyddsstyrelsen (EDPB) har antagit riktlinjer för att ge en indikation över vilka förväntningar styrelsen har på de skyddsåtgärder som ska finnas på plats genom ett rättsligt bindande instrument mellan offentliga organ.2 EDPB rekommenderar bland annat att parterna redan i ett tidigt skede utgår från riktlinjerna för att slutföra eller ändra sådana instrument eller överenskommelser. De anger också att rättsligt bindande instrument bör omfatta de grundläggande principerna för dataskydd (läs mer om här) och de registrerades rättigheter enligt GDPR (läs mer om här).
Bindande företagsbestämmelser (BCR)
För internationella koncerner eller företagsgrupper finns det möjlighet att ansöka hos ansvarig tillsynsmyndighet, om att få sina bindande företagsbestämmelser gällande behandling av personuppgifter godkända. Genom godkännande anses BCR utgöra lämplig skyddsåtgärd för överföring av personuppgifter till tredjeland, för de behandlingar och uppgifter som omfattas av godkänd BCR.
I artikel 47 GDPR beskrivs vilka förutsättningar som måste vara uppfyllda för ett godkännande, det rör bland annat vad bestämmelserna ska innehålla och vad som behöver säkerställas för att föra över personuppgifter.3 När tillsynsmyndigheten behandlar ansökan om godkännande av bindande företagsbestämmelser, krävs det av myndigheten att de begär ett yttrande från EDPB om saken innan slutgiltigt besked.
För att veta mer om vilka kriterier som ni behöver uppfylla och hur ansökningsförfarandet ser ut, ta del av IMY:s information kring ansökningsblanketter och tabeller här.
På EDPB:s webbplats kan ni även finna en förteckning över vilka godkända företagsbestämmelser som finns idag, läs mer här.
Standardavtalsklausuler (SCC)
Att inkludera standardavtalsklausuler antagna av EU-kommissionen när ni ingår avtal med en part i tredjeland är ett vanligt tillvägagångssätt för att visa att man vidtagit lämpliga skyddsåtgärder. Om korrekt använda SCC (inklusive korrekta behandlingsbeskrivningar och tillräckligt specifika säkerhetsåtgärder) är en del av avtalet blir det därmed tillåtet för er att överföra personuppgifter till avtalspart i tredjeland, under förutsättningen att det dessutom föreligger rättigheter och effektiva rättsmedel för den registrerade.
Här finns EU-kommissionens senaste version av de antagna standardavtalsklausulerna. De innehåller skyldigheter för den som vill exportera uppgifter till tredjeland, såväl som för den som tar emot personuppgifterna. Utöver skyldigheter reglerar även klausulerna andra frågor som berör överföringen, exempelvis registrerades rättigheter och hur tvister på grund av avtalet ska lösas.
Standardavtalsklausulerna är anpassade efter olika ansvarsförhållande mellan parterna:
- Modul 1 – Personuppgiftsansvarig till personuppgiftsansvarig
- Modul 2 – Personuppgiftsansvarig till personuppgiftsbiträde
- Modul 3 – Personuppgiftsbiträde till personuppgiftsbiträde
- Modul 4 – Personuppgiftsbiträde till personuppgiftsansvarig
Observera att ni inte får lov att ändra i klausulerna. Skulle det vara nödvändigt för er att inkludera klausuler om affärsrelaterade frågor är det ofta okej, men de får inte strida mot någon standardavtalsklausul eller underminera det faktiska skyddet.
Här hittar du svar på de vanligaste frågorna kring SCC, som EU-kommissionen tagit fram.
Ta gärna en titt på det webinarie vi genomförde i samband med godkännandet av de nya SCC:erna, här.
Uppförandekoder och certifieringsmekanismer
Genom att en mottagare i ett tredjeland har anslutit sig till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan det utgöra lämpliga skyddsåtgärder, med andra ord grund för en tillåten överföring av personuppgifter. Förutsättningen för att det ska vara tillåtet är att mottagande part är bunden av dessa åtaganden, d.v.s. att de är bindande och verkställbara.
EDPB har också antagit riktlinjer för att vägleda hur överföring av personuppgifter till tredjeland bör genomföras med grund i uppförandekoder och certifieringsmekanismer. Riktlinjerna innehåller bland annat vägledning om vad som krävs för att uppförandekod ska godkännas och hur processen går till för att få en uppförandekod godkänd (läs mer här).4 Riktlinjerna berör även hur processen för certifiering ser ut och vad certifieringen måste baseras på (läs mer här).5
Särskilt tillstånd från tillsynsmyndighet
Ni kan också ansöka om och erhålla ett tillstånd från behörig tillsynsmyndighet, för att överföra personuppgifter till tredje land. För att tillsynsmyndigheten ska lämna ett sådant tillstånd behöver överföringen grunda sig på avtalsklausuler mellan överföraren och mottagaren av personuppgifterna som tillsynsmyndigheten anser tillräckliga (dessa kallas i sammanhanget för ad hoc-klausuler).
Tillstånd kan även lämnas om det gäller överföring av personuppgifter mellan myndigheter, om överföringen grundar sig på bestämmelser i administrativa överenskommelser, om de innehåller verkställbara och faktiska rättigheter för de registrerade.
Innan tillstånd lämnas från tillsynsmyndigheten måste de inhämta ett yttrande från EDPB.[/efn_note]Se Artikel 46.4 och 63 GDPR[/efn_note] De tillstånd som lämnats av en tillsynsmyndighet är fortsatt gällande till dess att de ändrats, ersatts eller upphävts av den aktuella tillsynsmyndigheten.6
För vidare vägledning har EU-kommissionen antagit riktlinjer för överföring av personuppgifter mellan offentliga myndigheter och organ i EU/EES-länder och länder utanför EU/EES, läs riktlinjerna här.7
Mottagarlandets skyddsnivå och ert ansvar som uppgiftsutförare
Som tidigare nämnt så måste det förutom lämpliga skyddsåtgärder, vilka beskrivs ovan, finnas lagstadgade rättigheter för de registrerade samt möjlighet för de registrerade att framföra klagomål angående behandlingen av deras personuppgifter och få dessa prövad av domstol.
Om det finns brister i skyddsnivån i mottagarlandet kan det bli nödvändigt att vidta extra skyddsåtgärder utöver till exempel standardavtalsklausuler eller bindande företagsbestämmelser för att säkerställa adekvat skydd av de överförda personuppgifterna.
Ett scenario där ytterligare skyddsåtgärder behövs är när den överföringsmekanism som är avsedd att garantera lämpliga skyddsåtgärder, till exempel standardavtalsklausuler (SCC), inte kan genomföras i praktiken. Det kan till och med vara så att inga ytterligare skyddsåtgärder kan kompensera för bristerna, vilket medför att överföringen av personuppgifter inte är tillåten. I sådana situationer behöver ni avstå ifrån eller avbryta exporten av personuppgifter till tredjeland.
EU-domstolens dom C-311/18 (Schrems II) uppmärksammar att det skydd som personuppgifter har i EU/ESS alltid måste följa med uppgifterna när de överförs. Det är därför av yttersta vikt att skyddsnivån i tredjeland utvärderas för att lämplig överföringsmekanism ska kunna användas.8 Skyddsnivån i tredjeländer behöver inte vara exakt identisk med den som garanteras inom EU/ESS, men den måste vara väsentligt likvärdig. De lämpliga skyddsåtgärderna som stadgas i artikel 46 i GDPR fungerar inte i ett vakuum. Domstolen fastslår i domen att personuppgiftsansvarig eller personuppgiftsbiträde i rollen som uppgiftsutförare är ansvariga för att verifiera om mottagarlandet, tredjeland, lag eller praxis inkräktar på effektiviteten i de överföringsmekanismer som stadgas i artikel 46 i GDPR.
Är situationen sådan att mottagarlandets skyddsnivå brister, har uppgiftsutföraren utrymme för att genomföra kompletterande åtgärder för att täcka bristerna och höja skyddet till den nivån som krävs enligt EU och EES.
För att underlätta för uppgiftsutförarna i sin bedömning om tredjelands skyddsnivå och eventuella kompletterande åtgärder har EDPB antagit rekommendationer för när det kan krävas ytterligare skyddsåtgärder och vad som kan utgöra sådana åtgärder, läs mer här.9
Undantagssituationer
Om inget av ovanstående är tillämpligt, det vill säga att det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45 i GDPR eller är möjligt att använda sig av lämpliga skyddsåtgärder enligt artikel 46 i GDPR, får personuppgifter exporteras till tredjeland eller internationell organisation endast om något av de villkor som stadgas i artikel 49 i GDPR är uppfyllt. Det är särskilda undantag med mycket begränsat användningsområde. I detta blogginlägg kommer vi inte att redogöra för de aktuella undantagen.
Sammanfattning
Det finns en hel del att informera om när det gäller överföringsmekanismer som gör det möjligt att exportera personuppgifter till ett tredjeland. När det saknas ett beslut om adekvat skyddsnivå för tredjeland är det viktigt att ni som uppgiftsutförare vidtar lämpliga skyddsåtgärder för att överföringen ska vara tillåten. Det är även ni som uppgiftsutförare som ska verifiera att mottagarlandets skyddsnivå är väsentligt likvärdig den nivå som säkerställs i EU och EES för personuppgifter. Finns det luckor i mottagarlandets skyddsåtgärder är det ni som ska identifiera och komplettera dessa. EDPB har antagit riktlinjer och rekommendationer för att ge er vägledning i vad som utgör en tillåten överföring av personuppgifter till tredjeland.
Tänk på att all behandling av personuppgifter måste ha en laglig grund och uppfylla övriga krav i GDPR, även om det är tillåtet att överföra uppgifterna enligt kapitel V GDPR.
Fotnoter
- Läs mer hos Integritetsskyddsmyndigheten här.
- Riktlinjer 2/2020 om artikel 46.2(a) och artikel 46.3(b) i GDPR för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES. Riktlinjerna hittar du här.
- Se Artikel 47 och 63 GDPR
- Riktlinjer 04/2021 om uppförandekoder som överföringsverktyg
- Riktlinjer 07/2022 om certifiering som överföringsverktyg
- Se Artikel 46.5 första meningen
- Riktlinjer 2/2020 om artikel 46.2(a) och artikel 46.3(b) i GDPR för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EE
- Läs mer här
- Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter.