Hoppa till innehåll på sidan

Lämpliga skyddsåtgärder

Personuppgifter får överföras till ett land utanför EU/EES om den personuppgiftsansvariga vidtar lämpliga skyddsåtgärder genom att använda exempelvis bindande företagsbestämmelser eller standardavtalsklausuler.

Personuppgifter får överföras till ett land utanför EU/EES om ni vidtar så kallade lämpliga skyddsåtgärder:

  • bindande företagsbestämmelser
  • standardavtalsklausuler som EU-kommissionen har beslutat om
  • godkända uppförandekoder eller certifieringsmekanismer
  • rättsligt bindande instrument mellan myndigheter
  • ad hoc-klausuler som godkänts av IMY
  • administrativ överenskommelse mellan myndigheter som godkänts av IMY.

Det måste dessutom finnas lagstadgade rättigheter och möjlighet för de registrerade att klaga på personuppgiftsbehandlingen och få den prövad i domstol.

Om skyddsnivån i mottagarlandet inte är tillräcklig kan ni behöva vidta ytterligare skyddsåtgärder utöver till exempel standardavtalsklausuler eller bindande företagsbestämmelser. Så är fallet om det skydd som ska garanteras av de lämpliga skyddsåtgärderna, till exempel standardavtalsklausulerna, inte kan upprätthållas i praktiken. I vissa fall kan inga ytterligare skyddsåtgärder kompensera för bristerna och göra överföringen tillåten. I sådana fall behöver ni avstå ifrån eller avbryta överföringen. Europeiska dataskyddsstyrelsen (EDPB) har antagit rekommendationer om när ytterligare skyddsåtgärder kan behövas och vad sådana åtgärder kan vara.

Rekommendationer 01/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls

Mer om Schrems II-domen och överföringar till tredjeland

Bindande företagsbestämmelser

Bindande företagsbestämmelser (Binding Corporate Rules, BCR) är regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin behandling av personuppgifter. Bindande företagsbestämmelser måste godkännas av IMY eller någon annan tillsynsmyndighet i EU.

I dataskyddsförordningen finns detaljerade bestämmelser om vad bindande företagsbestämmelser ska innehålla och hur det går till när tillsynsmyndigheten behandlar ärenden om att få bindande företagsbestämmelser godkända. Innan en tillsynsmyndighet godkänner bindande företagsbestämmelser ska den begära yttrande från EDPB, där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.

Så gör ni för att få era bindade företagsbestämmelser godkända

Standardavtalsklausuler som EU-kommissionen har beslutat om

EU-kommissionen har godkänt vissa standardavtalsklausuler som handlar om dataskydd (Standard Contractual Clauses, SCC). Om ni ingår avtal, som innehåller dessa standardavtalsklausuler, med någon utanför EU/EES, så är det tillåtet att överföra personuppgifter till dem. Observera dock att ni inte får ändra i klausulerna. Om det är nödvändigt kan ni få lägga till klausuler om affärsrelaterade frågor, men sådana får då inte strida mot någon standardavtalsklausul.

Standardavtalsklausulerna innehåller skyldigheter dels för personuppgiftsansvariga som vill föra över personuppgifter till länder utanför EU/EES, dels för personuppgiftsansvariga eller personuppgiftsbiträden som tar emot sådana uppgifter. Klausulerna reglerar också andra frågor kring överföringen, till exempel de registrerades rättigheter och hur tvister med anledning av avtalet ska lösas.

Det finns tre alternativ att välja mellan när det gäller standardavtalsklausuler. Två av dessa gäller överföring till andra personuppgiftsansvariga i länder utanför EU/EES. Det tredje avser överföring av personuppgifter till personuppgiftsbiträden i länder utanför EU/EES.

 

Obs! Dessa standardavtalsklausuler gäller endast om ni har ingått dessa före den 27 september 2021 och fram till den 27 december 2022. Därefter ersätts de helt av EU-kommissionen nya standardavtalsklausuler, läs mer i informationsrutan nedan.

Uppförandekoder och certifieringsmekanismer

Om en mottagare i ett land utanför EU/EES anslutit sig till en godkänd uppförandekod eller godkänd certifieringsmekanism kan det vara tillåtet att överföra personuppgifter dit. Detta gäller under förutsättning att dessa medför rättsligt bindande och verkställbara skyldigheter för mottagaren av personuppgifterna.

EDPB har antagit riktlinjer om uppförandekoder som grund för överföring av personuppgifter till tredjeland. Riktlinjerna innehåller närmare vägledning om vad som krävs av en sådan uppförandekod och hur det går till att få en sådan uppförandekod godkänd.

Riktlinjer 04/2021 om uppförandekoder som grund för överföring av personuppgifter till tredjeland

EDPB har även antagit riktlinjer om certifiering som grund för tredjelandsöverföring. Riktlinjerna är ute på publik konsultation fram till den 30 september 2022 och kommer därefter att ses över inför ett slutligt antagande.

Riktlinjer 07/2022 om certifiering som grund för överföring av personuppgifter till tredjeland

Rättsligt bindande instrument mellan myndigheter

Det är tillåtet att grunda en överföring av personuppgifter till ett land utanför EU/EES på ett så kallat rättsligt bindande och verkställbart instrument, om överföringen sker mellan myndigheter. Ett sådant instrument mellan myndigheter kan vara ett samförståndsavtal eller ett informationsutbytesavtal inom till exempel skatteområdet.

EDPB har antagit riktlinjer om rättsligt bindande instrument (respektive administrativa överenskommelser) mellan myndigheter.

Riktlinjer 2/2020 om artikel 46.2(a) och artikel 46.3(b) i GDPR för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES

IMY kan ge särskilt tillstånd

Ni får också överföra personuppgifter till ett land utanför EU/EES om ni har fått tillstånd från IMY. Ett sådant tillstånd kan lämnas om överföringen grundar sig på avtalsklausuler (så kallade ad hoc-klausuler) mellan den som för över personuppgifter och mottagaren av dessa. Om det gäller överföring av personuppgifter mellan myndigheter kan tillstånd även lämnas om överföringen grundar sig på bestämmelser i administrativa överenskommelser som innehåller verkställbara och faktiska rättigheter för de registrerade. Innan IMY beslutar om särskilt tillstånd ska ett yttrande inhämtas från EDPB, där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.

EDPB har antagit riktlinjer om administrativa överenskommelser (respektive rättsligt bindande instrument) mellan myndigheter.

Riktlinjer 2/2020 om artikel 46.2(a) och artikel 46.3(b) i GDPR för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES

Senast uppdaterad: 16 september 2022
Sidans etiketter Dataskydd