Ny riktlinje klargör överföring till tredje land

GDPR innehåller ingen legal definition av begreppet ”överföring av personuppgifter till ett tredje land eller till en internationell organisation”. Därför har den Europeiska dataskyddsstyrelsen, EDPB, formulerat tre kriterier som ska vara uppfyllda för att en personuppgiftsbehandling ska kvalificeras som en tredjelandsöverföring:

1. Det första kriteriet kräver att en personuppgiftsansvarig eller personuppgiftsbiträde omfattas av GDPR för behandlingen som avses. Även personuppgiftsansvarig eller personuppgiftsbiträde som inte är etablerade inom EU kan omfattas då den registrerade vars personuppgifter behandlingen rör befinner sig inom EU.
2. Det andra kriteriet kräver att antingen en personuppgiftsansvarig eller ett personuppgiftsbiträde (såsom ”exportör” överför eller annars gör uppgifter tillgängliga för en annan personuppgiftsansvarig, gemensamt personuppgiftsansvarig eller personuppgiftsbiträde (såsom ”importör”).

   Detta innebär att en överföring sker endast då personuppgifterna tillgängliggörs mellan två separata aktörer under GDPR (var och en såsom personuppgiftsansvarig, gemensamt personuppgiftsansvarig eller personuppgiftsbiträde). Om den som tillgängliggör, och den som mottar, inte är olika personuppgiftsansvariga eller -biträden så är det inte en överföring i och med att uppgifterna behandlas inom samma enhet. Koncernbolag som utgör separata personuppgiftsansvariga eller har ett biträdesförhållande kan således överföra personuppgifter när dessa görs tillgängliga sinsemellan koncernbolagen. Detta innebär bland annat att:

• Om en anställd inom unionen åker utanför EU för att arbeta och där i sin dator får tillgång till personuppgifter i sitt företags databas räknas detta inte som en överföring, då uppgifterna inte övergått till annan. Dock kan data som överförs mellan olika enheter inom samma koncern, t.ex. moderbolag till dotterbolag, där det ena är beläget utanför EU räknas som överföring.
• Om personuppgifterna på eget initiativ lämnas direkt från berörd registrerad till mottagare utanför EU, t.ex. vid internetköp, anses det inte vara en överföring då det inte finns någon exportör inblandad som tillgängliggör uppgifterna.

  Värt att nämna är att även om det inte rör sig om en överföring som kräver en överföringsmekanism som ytterligare säkerhetsåtgärder enligt Kapitel V i GDPR, ska ändå lämpliga tekniska och organisatoriska skyddsåtgärder med hänsyn till riskerna genomföras i enlighet med Artikel 32. Sådana åtgärder kan likväl innebära att anställda inte kan ta med sina datorer till ett specifikt tredje land på grund av det höga risktagandet.

3. Det tredje kriteriet kräver att importören geografiskt befinner sig i ett tredje land eller är en internationell organisation, oavsett om importören omfattas av GDPR avseende behandlingen som avses.

När samtliga tre kriterier ovan är uppfyllda är det just en ”överföring till ett tredje land eller internationell organisation”, vilket medför att exportören är skyldig att inrätta någon av överföringsmekanismerna i GDPR. Detta innebär att tillse att landet som personuppgifterna överförs till är ett sådant tredje land som EU-kommissionen har beslutat säkerställer en adekvat skyddsnivå (Artikel 45) eller att införa andra lämpliga skyddsåtgärder, t.ex. standardavtalsklausuler eller bindande företagsbestämmelser (Artikel 46 GDPR). Viktigt är att även ta hänsyn bland annat till tredje landets nationella lagar och statliga tillgång till personuppgifter, vilka kan strida mot GDPR.

Behöver ni råd eller vill du veta mer om vad detta innebär för er verksamhet? Tveka inte att kontakta en IT-advokat.