Överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet (EES) är ofta avgörande för internationell handel eller samarbete. Ert företag kan behöva överföra personuppgifter till ett land utanför EES i samband med sin verksamhet, till exempel när ni behöver dela personuppgifter med era affärspartner eller med era leverantörer som är baserade utanför EES.

GDPR innehåller särskilda bestämmelser för sådana överföringar. Dessa bestämmelser syftar till att garantera en likvärdig skyddsnivå för personuppgifter som överförs till länder utanför EES som den som gäller för uppgifterna inom EES.

När sker en överföring av personuppgifter utanför EES?

GDPR innehåller ingen definition av sådana överföringar. EDPB har dock identifierat följande tre kumulativa kriterier för att identifiera en överföring utanför EES:

  • en personuppgiftsansvarig eller ett personuppgiftsbiträde omfattas av GDPR för den givna behandlingen;
  • denna personuppgiftsansvarige eller personuppgiftsbiträde överför eller gör på annat sätt personuppgifter tillgängliga för en annan organisation (personuppgiftsansvarig eller personuppgiftsbiträde).
  • denna andra organisation är i ett land utanför EES eller är en internationell organisation.

Hur får vi överföra personuppgifter utanför EES?

I korthet inför GDPR restriktioner för överföring av personuppgifter utanför EES, till icke EES-länder och internationella organisationer, för att säkerställa att den skyddsnivå för enskilda personer som gäller enligt GDPR förblir densamma.

Personuppgifter får endast överföras utanför EES i enlighet med villkoren för sådana överföringar som anges i kapitel V i GDPR.

Villkoren för överföringar måste följas i tillägg till den allmänna efterlevnaden av andra GDPR-regler. Dessa villkor utgör till exempel ett ytterligare krav utöver de grundläggande principerna för personuppgiftsbehandling, som också måste respekteras i samband med internationella överföringar. Vid överföring av personuppgifter måste ni också se till att ni har en lämplig rättslig grund för behandling; att nödvändiga säkerhetsåtgärder genomförs, att ni endast behandlar de personuppgifter som är nödvändiga för denna specifika behandlingsaktivitet (principen om uppgiftsminimering), etc. Om mottagaren av personuppgifterna fungerar som personuppgiftsbiträde är ni också rättsligt skyldiga att upprätta ett avtal. Precis som ni skulle göra för ett personuppgiftsbiträde inom EES.

Enligt GDPR finns det i princip två huvudsakliga sätt att överföra personuppgifter till ett land utanför EES eller en internationell organisation. Överföringar får ske på grundval av ett beslut om adekvat skyddsnivå eller, i avsaknad av ett sådant beslut, på grundval av lämpliga skyddsåtgärder, med bland annat verkställbara rättigheter och rättsmedel för enskilda. I avsaknad av antingen ett beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder tillåter dataskyddsförordningen också överföring i vissa särskilda situationer.
Ni hittar mer information om de olika alternativen nedan.

Överföring av uppgifter på grundval av ett beslut om adekvat skyddsnivå

Europeiska kommissionen har möjlighet att anta beslut om adekvat skyddsnivå för att formellt bekräfta, att dataskyddsnivån i ett land utanför EES eller i en internationell organisation är väsentligen likvärdig med skyddsnivån i EES. Ett sådant beslut har bindande verkan inom EES.

Vid bedömningen av om skyddsnivån är adekvat beaktar Europeiska kommissionen aspekter som rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna samt huruvida de registrerades rättigheter är effektiva och verkställbara, förekomsten av en oberoende dataskyddsmyndighet i landet utanför EES och de internationella åtaganden som landet eller den internationella organisationen har ingått.

Om Europeiska kommissionen beslutar att ett land utanför EES erbjuder en adekvat skyddsnivå, kan personuppgifter överföras till ett företag eller en annan organisation i det landet utan att uppgiftsutföraren, dvs. den organisation som överför uppgifterna, måste tillhandahålla ytterligare skyddsåtgärder eller omfattas av ytterligare villkor i samband med internationella överföringar. Med andra ord kommer överföringarna till ett ”adekvat” land utanför EES att vara jämförbara med en överföring av uppgifter inom EES. Er organisation måste dock fortfarande följa de andra grundläggande principerna i GDPR, som förklaras ovan.  

Beslut om adekvat skyddsnivå kan omfatta ett land som helhet eller begränsas till en del av det (dvs. till en region). Beslut om adekvat skyddsnivå kan omfatta alla dataöverföringar till ett land eller begränsas till vissa typer av överföringar (t.ex. inom en sektor).

Hittills har Europeiska kommissionen antagit beslut om adekvat skyddsnivå för

  • Andorra,
  • Argentina,
  • Kanada (kommersiella organisationer),
  • Färöarna,
  • Guernsey,
  • Israel,
  • Isle of Man,
  • Japan,
  • Jersey,
  • Nya Zeeland
  • Republiken Korea,
  • Schweiz,
  • Förenade kungariket,
  • Förenta staterna (kommersiella organisationer som deltar i ramverket EU-US Data Privacy Framework).
  • och Uruguay.

Europeiska kommissionen offentliggör förteckningen över sina beslut om adekvat skyddsnivå på sin webbplats.

Företag som överför personuppgifter utanför EES ansvarar för att kontrollera att de beslut om adekvat skyddsnivå som är relevanta för överföringarna fortfarande är i kraft och inte håller på att återkallas eller ogiltigförklaras.

Observera att beslut om adekvat skyddsnivå inte hindrar enskilda från att lämna in ett klagomål. De hindrar inte heller dataskyddsmyndigheterna från att utöva sina befogenheter enligt GDPR.

Överföring av uppgifter på grundval av lämpliga skyddsåtgärder

I avsaknad av ett beslut om adekvat skyddsnivå får organisationer också överföra personuppgifter om det finns lämpliga skyddsåtgärder gentemot den organisation som tar emot personuppgifterna. Dessutom måste enskilda personer kunna utöva sina rättigheter och ha effektiva rättsmedel tillgängliga för dem.

Artikel 46 GDPR innehåller en rad överföringsverktyg som innehåller ”lämpliga skyddsåtgärder” som ni kan använda för att överföra personuppgifter till länder utanför EES i avsaknad av beslut om adekvat skyddsnivå. De viktigaste typerna av överföringsverktyg enligt artikel 46 i dataskyddsförordningen, som är relevanta för privata organisationer, är följande:

  • Standardavtalsklausuler om dataskydd (SCC).
  • Bindande företagsbestämmelser (BCR).
  • Uppförandekoder,
  • Certifieringsmekanismer.
  • Särskilda avtalsklausuler.

Standardavtalsklausuler

Standardavtalsklausuler är en uppsättning standardiserade kontrakt som gör det möjligt för den som ska överföra personuppgifter att tillhandahålla lämpliga skyddsåtgärder. Det är ett verktyg som används av många organisationer. Europeiska kommissionen har befogenhet att anta standardavtalsklausuler som en lämplig skyddsåtgärd för överföring av personuppgifter till länder utanför EES enligt artikel 46.2 c i GDPR.

Den 4 juni 2021 antog Europeiska kommissionen ett genomförandebeslut om standardavtalsklausuler för överföring av personuppgifter till länder utanför EES enligt GDPR. Europeiska kommissionen tillhandahåller också en uppsättning standardavtalsklausuler på sin webbplats. Läs mer om standardavtalsklausulerna. 

Standardavtalsklausuler behandlar olika överföringsscenarier och komplexiteten i moderna bearbetningskedjor. Personuppgiftsansvariga och personuppgiftsbiträden kan använda flera alternativ, beroende på de särskilda omständigheterna för överföringen, bland annat:

  • personuppgiftsansvarig-till-personuppgiftsansvarig.
  • Personuppgiftsansvarig-till-personuppgiftsbiträde.
  • personuppgiftsbiträde-till-personuppgiftsbiträde.
  • personuppgiftsbiträde till personuppgiftsansvarig, när personuppgiftsbiträdet finns i EU och den personuppgiftsansvarige i ett tredjeland.

Andra viktiga aspekter av standardavtalsklausulerna är:

  • möjlighet för fler än två parter att ansluta sig till avtalet med klausuler.
  • en möjlighet, med vissa undantag, att använda standardavtalsklausuler vid överföring av personuppgifter till ett underbiträde i ett land utanför EES.
  • en möjlighet, med vissa undantag, för enskilda att åberopa klausulerna som tredje parts förmånstagare.
  • regler om parternas ansvar ifall enskildas rättigheter kränks.
  • Enskilda personers rätt till ersättning för skada som lidits när deras rättigheter som tredje part har kränkts.
  • ett krav på att genomföra en ”konsekvensbedömning av överföring” som dokumenterar de särskilda omständigheterna kring överföringen, lagstiftningen i destinationslandet och de ytterligare skyddsåtgärder som införts för att skydda personuppgifterna.
  • skyldigheter ifall offentliga myndigheter får tillgång till de överförda uppgifterna, t.ex. skyldigheten att lämna information till den som fört över uppgifterna och att möjligheter att bestrida fall där en myndighet olagligen begärt tillgång till uppgifterna.

Bindande företagsbestämmelser (BCR)

Bindande företagsbestämmelser bidrar till att säkerställa en adekvat skyddsnivå för uppgifter som utbyts inom en företagsgrupp både inom och utanför EES, och är mer lämpade för en multinationell företagsgrupp som utför ett stort antal dataöverföringar.

Bindande företagsbestämmelser är interna regler som antagits av en koncern och som fastställer deras globala policy för överföring av personuppgifter. Dessa regler måste vara bindande och följas av alla koncernenheter, oavsett värdland. Dessutom måste de uttryckligen ge enskilda personer verkställbara rättigheter när det gäller behandlingen av deras personuppgifter.

De villkor som måste respekteras för att få bindande företagsbestämmelser godkända av den behöriga dataskyddsmyndigheten förtecknas i artikel 47 i GDPR och förklaras närmare i de rekommendationer som antagits av den sk 29-gruppen och som godkänts av EDPB. Olika villkor ställs i fråga om bindande företagsbestämmelser för personuppgiftsansvariga jämfört med personuppgiftsbiträden.

Uppförandekoder

GDPR introducerar detta nya verktyg för dataöverföring. I motsats till de bindande företagsbestämmelserna, som kan utarbetas direkt av enskilda företagskoncerner, är uppförandekoder sektoriella och utarbetade av sammanslutningar som företräder kategorier av organisationer. Ett system med ackrediterade organ som övervakar efterlevnaden av uppförandekoden måste införas. EDPB har tagit initiativ till att klargöra under vilka villkor uppförandekoder får användas och godkännas av de behöriga myndigheterna. Utöver detta ansvarar EDPB också för att säkerställa att  villkoren för ackreditering av övervakningsorgan är enhetliga.

Certifiering

GDPR inför detta nya verktyg för dataöverföring till organisationer som har certifierats av certifieringsorgan eller dataskyddsmyndigheter inom EES.
EDPB har antagit riktlinjer för att klargöra på vilka villkor en certifieringsmekanism kan införas. Detta verktyg är fortfarande under utveckling.
EDPB ansvarar också för att säkerställa att villkoren för ackreditering av certifieringsorgan är enhetliga.

Tillfälliga avtalsklausuler

Om personuppgiftsansvariga eller personuppgiftsbiträden beslutar att inte använda Europeiska kommissionens standardavtalsklausuler kan de utarbeta egna avtalsklausuler (”ad hoc-klausuler”) som erbjuder tillräckliga skyddsåtgärder för dataskydd. Innan dataöverföring sker måste sådana ad hoc-avtalsklausuler godkännas av den behöriga nationella dataskyddsmyndigheten i enlighet med artikel 46.3 a i GDPR, efter ett yttrande från EDPB.

Kompletterande åtgärder efter Schrems II-domen

I 2020 års dom C-311/18 (Schrems II) betonade Europeiska unionens domstol det eventuella behovet av att organisationer tillhandahåller kompletterande åtgärder utöver lämpliga skyddsåtgärder vid överföring av personuppgifter utanför EES.

Standardavtalsklausuler och andra överföringsverktyg som nämns i artikel 46 i GDPR fungerar inte i ett vakuum. EU-domstolen konstaterade att personuppgiftsansvariga och personuppgiftsbiträden, i egenskap av exportörer, är ansvariga för att i varje enskilt fall kontrollera om lagstiftningen eller praxisen i mottagarlandet utanför EES hindrar en effektiv tillämpning av de lämpliga skyddsåtgärderna i artikel 46. Det kan till exempel vara fallet om lagstiftningen i mottagarlandet innehåller tvingande regler om åtkomst till uppgifter för andra än mottagaren.

För att hjälpa exportörerna med den komplicerade uppgiften att bedöma de länder som mottar uppgifterna och vid behov identifiera lämpliga kompletterande åtgärder har EDPB antagit rekommendationer.

Överföringar av uppgifter på grundval av undantag

Förutom beslut om adekvat skyddsnivå och artikel 46 GDPR-överföringsverktyg innehåller dataskyddsförordningen en tredje väg som tillåter överföring av personuppgifter i vissa situationer. Under särskilda villkor kan ni fortfarande överföra personuppgifter baserat på ett undantag som anges i artikel 49 i GDPR.

Artikel 49 i dataskyddsförordningen utgör ett undantag från övriga bestämmelser om överföring i GDPR.  Undantagen ska tolkas på ett sätt som inte strider mot principen om att personuppgifter som regel inte får överföras till ett land utanför EES, såvida inte landet föreskriver en adekvat dataskyddsnivå eller, alternativt, lämpliga skyddsåtgärder införs. Undantag kan inte bli ”regeln” i praktiken, utan måste begränsas till specifika situationer.

Enligt artikel 49 i GDPR kan en överföring, eller en uppsättning överföringar, göras om överföringen:

  • görs med den enskildes uttryckliga samtycke,
  • är nödvändig för att fullgöra ett avtal mellan den enskilde och organisationen eller för åtgärder som vidtas före avtalets ingående på den enskildes begäran.
  • är nödvändig för att fullgöra ett avtal som ingåtts i den enskildes intresse mellan den personuppgiftsansvarige och någon annan,
  • nödvändig av viktiga skäl som rör  ett allmänt intresse,
  • är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk,
  • är nödvändig för att skydda den berörda personens eller andra personers grundläggande intressen, om personen är fysiskt eller rättsligt oförmögen att ge sitt samtycke, eller
  • görs från ett register som enligt den nationella lagstiftningen i ett EES-land eller EU-lagstiftningen är avsett att ge allmänheten information (och som är tillgängligt antingen för allmänheten eller för personer som kan visa ett berättigat intresse av att få tillgång till registret).

Ett visst ”nödvändighetstest” måste tillämpas för att bedöma om överföringen är nödvändig. Detta test kräver en bedömning av huruvida en överföring av personuppgifter kan anses nödvändig för det specifika syftet med undantaget i fråga.

Om inget av ovanstående undantag är tillämpligt på en specifik situation är det möjligt att överföra uppgifter för den personuppgiftsansvariges tvingande berättigade intressen.

Sådana överföringar är dock endast tillåtna om överföringen

  • inte upprepas (liknande överföringar görs inte regelbundet).
  • omfattar uppgifter som endast avser ett begränsat antal personer,
  • är nödvändig för organisationens tvingande berättigade intressen (förutsatt att sådana intressen inte åsidosätts av den enskildes intressen),
  • omfattas av lämpliga skyddsåtgärder som införts av organisationen (mot bakgrund av en bedömning av alla omständigheter kring överföringen) för att skydda personuppgifterna, och
  • inte görs av en offentlig myndighet som ett led i myndighetsutövning.

I dessa fall är organisationerna skyldiga att informera den berörda dataskyddsmyndigheten om överföringen och lämna ytterligare information till enskilda personer.

I allmänhet bör undantag endast användas som en sista utväg för att utforma en dataöverföring – organisationer bör först bedöma om det inte är möjligt att använda antingen ett beslut om adekvat skyddsnivå eller en lämplig skyddsåtgärd.

Om ni förlitar er på undantag enligt artikel 49 i GDPR måste ni komma ihåg att organisationer som överför uppgifter också måste följa andra bestämmelser i GDPR (ha en rättslig grund för kommunikation av data, genomföra säkerhetsåtgärder, uppgiftsminimering, underteckna ett avtal om mottagaren är personuppgiftsbiträde etc.).