Den Europeiska Dataskyddsmyndigheten (EDPB) publicerade, med anledning av Schrems II, under november två vägledningar avseende överföring av personuppgifter utanför EU/EES. Vägledningarna innebär i korthet att personuppgiftsansvarig behöver göra en riskanalys för varje land personuppgifter ska överföras till och därefter, om nödvändigt, implementera ytterligare skyddsåtgärder utöver exempelvis standardklausulerna. Om man trots vidtagna åtgärder inte uppnår en tillräcklig säkerhetsnivå, är överföringen olaglig.
EDPBs vägledning (som i nuläget endast är preliminär) innehåller sex steg som ska följas och dokumenteras noga. EDPB är tydliga med att företag noggrant måste dokumentera utvärderingsprocessen och kommer att ställas till svars för sitt beslut rörande överföringen.
Steg 1: Kartlägg alla överföringar till tredje land
Vilka personuppgifter överförs och på vilket sätt? För att räknas som en överföring krävs inte att datat i sig flyttas, utan även remote access från ett tredje land räknas som överföring.
Steg 2: Identifiera vilka överföringsmekanismer du använder
Används exempelvis Binding Corporate Rules eller Standardklausuler för överföringen eller har du förlitat dig på Privacy Shield och inte vidtagit åtgärder sedan den blev ogiltig? Endast i vissa fall av enstaka och icke upprepade överföringar kan du luta dig mot undantagen i Artikel 49 GDPR.
Om EU Kommissionen har deklarerat landet, regionen eller sektorn till vilken du överför data som adekvat, behöver du inte vidta ytterligare steg, annat än att övervaka att adekvatsbeslutet fortfarande är giltigt.
Steg 3: Utvärdera om överföringsmekanismen under Artikel 46 GDPR som du förlitar dig på har effekt i ljuset av alla omständigheter kring överföringen
Utvärdera om det är någonting i lag, praxis eller förfaranden i tredje landet som kan underminera det skydd din överföringsmekanism är tänkt att ha vid överföringen. Utvärderingen ska framförallt fokusera på om tredje landet har lagstiftning som ger myndigheter rätt till insyn eller tillgång till ditt data. EDPBs andra vägledning (som är slutgiltig) är tänkt att hjälpa till vid bedömningen av om tredje lands statliga övervakning strider mot GDPR, och därmed kräver ytterligare skyddsåtgärder.
Steg 4: Vidta ytterligare åtgärder
Om steg tre visar att ytterligare åtgärder behövs ska de ytterligare åtgärder som är nödvändiga för att få upp dataskyddet till väsentligen samma nivå som EU-standard identifieras och implementeras. I vägledningen finns exempel på åtgärder. Om en åtgärd är lämplig och har önskad effekt beror exempelvis på vad det är för typ av tjänst (backup, kundtjänst, etc.) och hur lagstiftningen ser ut i det aktuella landet (exv. vilka möjligheter myndigheter har att bereda sig tillgång till information). Om du inte kan uppnå tillräckligt skydd oavsett vilka åtgärder du sätter in, är överföringen olaglig.
Steg 5: Processuella eller formella steg
Det femte steget är att vidta processuella eller formella steg, om nödvändigt. Om t.ex. bindande företagsregler inte längre är tillräckliga och behöver ändras behöver tillsynsmyndighet involveras.
Step 6: Återutvärdera med lämplig frekvens
Till sist ska du med lagom mellanrum återutvärdera nivån på dataskydd vid överföring och utvärdera om det skett förändringar som kan påverka skyddet.
Läs vägledningarna här (se 01/2020 och 02/2020).
Vill du veta mer om hur ditt företag ska hantera överföring till tredje land i praktiken, tveka inte att kontakta en IT-advokat.
