Är ni ett bolag etablerade i EU och tillhör en internationell koncern med bolag belägna utanför EU/EES-området? Isåfall behöver ni veta att om en överföring av personuppgifter till ett bolag utanför EU/EES-området sker, en s.k. tredjelandsöverföring, gäller speciella regler. Det kan då vara en god idé att läsa vidare eftersom GDPR uppställer särskilda krav på säkerhet i de situationerna. Artikeln behandlar när en överföring av personuppgifter sker inom samma koncern, där mottagarbolaget är beläget i ett tredje land d.v.s. ett land utanför EU/EES-området.
I skälen till GDPR anges att det är viktigt att den skyddsnivå som fysiska personer säkerställs inom unionen genom förordningen inte undergrävs när personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i ett tredje land. Överföring till tredje land får endast ske om det råder full överensstämmelse med GDPR.
Begreppet ”behandling” är omfattande och inbegriper alltifrån lagring till insyn i personuppgifter. Det gäller alltså att tänka till en extra gång och fundera på om överföring sker! Exempel: En internationell koncern har bolag i Sverige och Colombia. Bolaget i Colombia har full insyn över Sveriges medlemsregister i bolaget. I och med att de har insyn sker därav en tredjelandsöverföring.
För att säkerställa att er personuppgiftsöverföring är förenlig med förordningen så måste ni säkerställa att mottagarlandet innehar en adekvat säkerhetsnivå, och om så inte är fallet så måste ni vidta lämpliga skyddsåtgärder, vilket kommer det kommer redogöras för nedan:
1. Överföringen sker till ett tredje land som enligt kommissionsbeslut innehar en adekvat skyddsnivå
Huvudregeln för tillåten överföring till tredje land är att mottagarlandet uppfyller en adekvat säkerhetsnivå. För att få föra över personuppgifter till tredje land krävs således att ni kontrollerar huruvida mottagarlandet når upp till denna nivå eller inte, vilket ni kan göra på EU-kommissionens hemsida. Beslut om adekvat skyddsnivå fattas av EU-kommissionen. Enligt kommissionen så är säkerhetsnivån i nuläget i följande länder tillräckligt hög: Andorra, Argentina; Bailiwick of Guernsey, Färörarna, Isle of Man, Israel, Jersey, Nya Zeeland, Schweiz och Uruguay. Även Kanada uppnår säkerhetskraven, men endast under särskilda villkor. Till skillnad från personuppgiftslagen (PuL) finns det inte längre utrymme för den personuppgiftsansvarige att själv avgöra om det föreligger en adekvat skyddsnivå eller inte i mottagarlandet. Det är bara EU-kommissionen som kan fatta ett sådant beslut. För många större koncerner är detta överföringssätt inte alltid lämpligt. Det är dessutom många länder som inte lever upp till en adekvat skyddsnivå. Vi går därför vidare till ett annat alternativ – s.k. bindande företagsbestämmelser.
2. Upprätta bindande företagsbestämmelser (Binding Corporate Rules, BCR).
Vad beträffar koncerner är det vanligt att upprätta bindande företagsbestämmelser (BCR), eftersom det inte alltid är effektivt och flexibelt för internationella koncerner som för över personuppgifter till tredje land i stor omfattning att stödja sig på ovan nämnda överföringsförfarande. För överföring i mindre omfattning kan det räcka med att enligt ovan kontrollera att en adekvat skyddsnivå föreligger för aktuellt mottagarland och då behöver BCR inte upprättas. Med BCR avses regler som en koncern med bolag i flera länder tar fram för att reglera sin personuppgiftsbehandling. BCR upprättas oftast således när:
- Överföring sker inom en internationell koncern i större omfattning eller,
- Överföring sker inom en internationell koncern i mindre omfattning och då det berörda mottagarlandet inte finns uppräknat på listan över länder med en adekvat skyddsnivå.
GDPR anger ett antal obligatoriska uppgifter som bestämmelserna ska innehålla. Exempelvis så ska bestämmelserna vara rättsligt bindande för berörda, innehålla uttryckliga regleringar om de registrerades lagstadgade rättigheter samt ange en lista över bolag inom koncernen till vilka informationen överförs. Utformningen kommer att se olika ut i varje enskild koncern och beror på koncernens struktur samt vilka personuppgifter som berörs. Bestämmelserna ska sedan godkännas av behörig tillsynsmyndighet.
3. Avtal innehållandes standardavtalsklausuler
En annan lämplig säkerhetsåtgärd som är möjlig att vidta (om inte landet finns med på listan över adekvat säkerhetsnivå och ni inte har upprättat bindande företagsbestämmelser) är att, om ni ingår avtal med ett annat bolag inom koncernen som är beläget i tredje land, inkorporera särskilda standardavtalsklausuler i avtalet. Klausulerna är på förhand godkända av EU-kommissionen och får under inga omständigheter ändras. De svenska versionerna av klausulerna finns att hämta från tillsynsmyndighetens hemsida.
4. Certifieringsmekanismer, uppförandekoder och särskilt tillstånd
Det är möjligt att ansluta er till en godkänd uppförandekod eller certifieringsmekanism. Det är också möjligt att få ett särskilt tillstånd från tillsynsmyndigheten om överföringen grundar sig på avtalsklausuler.
Exempel på tredjelandsöverföring från Sverige till Nya Zeeland:
Ett bolag i Sverige för över personuppgifter till ett annat bolag inom koncernen som finns i ett tredje land, Nya Zeeland. Eftersom landet finns uppräknat på listan över adekvat skyddsnivå så krävs det enligt förordningen inte BCR eller standardavtalsklausuler. Eftersom koncernen dock har bolag i flertalet tredje länder och överför personuppgifter i stor omfattning så väljer dock koncernen att för enkelhetens skull upprätta BCR ändå.
Exempel på tredjelandsöverföring från Sverige till Brasilien:
Det svenska koncernbolaget överför personuppgifter till ett annat bolag inom koncernen, i Brasilien. Eftersom landet inte finns uppräknat för adekvat skyddsnivå så krävs det att lämpliga säkerhetsåtgärder vidtas. Koncernen kan då välja att upprätta BCR:s eller inkorporera standardavtalsklausuler om överföringen grundas på ett avtal.
Undantag för när överföringar får göras – även om adekvat skyddsnivå inte föreligger eller lämpliga säkerhetsåtgärder inte har vidtagits
I vissa särskilda fall kan det vara tillåtet att överföra personuppgifter till tredje land även om kraven enligt GDPR inte är uppfyllda. Så kan vara fallet om den vars personuppgifter förs över har samtyckt till överföringen. Viktigt att ha i åtanke är att detta undantag ska ges en restriktiv tolkning och tillämpas med stor försiktighet enligt tidigare vägledning från artikel-29-gruppen. I princip får dessa grunder endast användas då personuppgiftsbehandlingen är tillfällig. Den berörde måste informeras om riskerna som finns när överföringen sker i avsaknad av en adekvat skyddsnivå och lämpliga säkerhetsåtgärder. Det kan också vara tillåtet att överföra personuppgifter om det krävs för att fullgöra ett avtal med den registrerade eller efter en intresseavvägning har genomförts. Det kan även få ske om det berör ett begränsat antal registrerade.
Oavsett var era koncernbolag finns hjälper GDPR Hero er att leva upp till kraven på personuppgiftsbehandling!
Se hur GDPR Hero kan hjälpa ditt företag att hitta rätt i GDPR-djungeln!