Överföring av personuppgifter till tredje land
Webinarium från 13 januari 2025
Gällande USA:s underrättelsetjänsts åtkomst till personuppgifter utifrån CLOUD Act - kan man känna sig trygg med hanteringen av data kopplat till detta om mottagaren omfattas av Data Privacy Framework?
En organisation som omfattas av Data Privacy Framework (DPF) har ett godkänt överföringsverktyg enligt GDPR för de specifika behandlingar som organisationen har certifierat sig för. CLOUD Act ger amerikanska myndigheter rätt att begära åtkomst till personuppgifter som lagras av amerikanska företag, oavsett var dessa data finns fysiskt lagrade. Trots detta har EU-kommissionen tagit beslut om Adekvat Skyddsnivå för DPF-certifierade organisationer.
Det är dock viktigt att förstå att andra lagar, exempelvis Offentlighets- och sekretesslagen (OSL) kan reglera hur data får hanteras. Enligt OSL får information som omfattas av sekretess inte röjas utan stöd av en sekretessbrytande bestämmelse. Det finns sedan 1 juli 2023 en sekretessbrytande bestämmelse i 10 kap 2a§ OSL som anger att sekretess kan brytas för uppgiftsutlämning (utkontraktering) för teknisk bearbetning och/eller lagring efter en genomförd intresseavvägning.
Cloud Act inverkar inte på lagligheten utifrån GDPR för överföring av personuppgifter som sker till organisation som certifierat sig under DPF. Däremot kan Cloud Act fortsatt behöva tas i beaktande vid en intresseavvägning som krävs under OSL.
Läs gärna vidare i eSams vägledning här.
Innebär användande av ett (och samma) HR-system för anställda både i Europa och USA att det finns en överföring till tredje land?
Om en organisation inom EU delar uppgifter med en annan organisation sker det en överföring. Detta gäller även om båda organisationer befinner sig inom en koncern men är separata juridiska personer (bolag).
Om organisationen som tar emot uppgifterna befinner sig utanför EU (till exempel i USA) blir det en tredjelandsöverföring som behöver en giltig överföringsmekanism enligt kapitel V GDPR.
Det sker alltså en överföring till tredje land när ett bolag inom EU använder samma HR-system för anställdas personuppgifter som ett bolag i USA.
Kan vara bra att känna till att DPF-certifieringen skiljer mellan HR-data och Non-HR-data och att en DPF-certifiering kan innehålla båda kategorierna eller en av dem.
Vidare är det viktigt att bedöma ansvarsrollerna för respektive organisation för de behandlingar som sker i HR-systemet.
Missa inte Sveriges mest lästa GDPR-blogg!
Få koll på GDPR utan att krångla till det. I vår blogg hittar du tydliga svar på både vardagsfrågor och svårare utmaningar – allt för att hjälpa dig att göra rätt sak, i rätt ordning. Perfekt för dig som vill känna dig trygg utan att lägga onödig tid.
Boka ditt möte idag och ta första steget mot trygghet i GDPR-frågor
Har du frågor om GDPR, eller behöver du hjälp med att hitta rätt väg framåt? Oavsett om det gäller stora strategiska beslut eller små praktiska utmaningar, finns vi här för att guida dig.
Vi fokuserar på att hjälpa dig göra rätt sak i rätt ordning – utan att göra mer än nödvändigt. Ett möte med oss ger dig klarhet, konkreta lösningar och en tydlig plan framåt.

Redo att ta ert GDPR-arbete till nästa nivå?
Fyll i formuläret, så blir du kontaktad av någon från vårt team så snart som möjligt.