Hoppa till innehåll på sidan

Lämpliga skyddsåtgärder

Personuppgifter får överföras till ett land utanför EU/EES om den personuppgiftsansvariga vidtar lämpliga skyddsåtgärder genom att använda exempelvis bindande företagsbestämmelser eller standardavtalsklausuler.

Personuppgifter får överföras till ett land utanför EU/EES om ni vidtar så kallade lämpliga skyddsåtgärder:

  • bindande företagsbestämmelser
  • standardavtalsklausuler som EU-kommissionen har beslutat om
  • godkända uppförandekoder eller certifieringsmekanismer
  • rättsligt bindande instrument mellan myndigheter
  • ad hoc-klausuler som godkänts av IMY
  • administrativ överenskommelse mellan myndigheter som godkänts av IMY.

Det måste dessutom finnas lagstadgade rättigheter och möjlighet för de registrerade att klaga på personuppgiftsbehandlingen och få den prövad i domstol.

Om skyddsnivån i mottagarlandet inte är tillräcklig kan ni behöva vidta ytterligare skyddsåtgärder utöver till exempel standardavtalsklausuler eller bindande företagsbestämmelser. Så är fallet om det skydd som ska garanteras av de lämpliga skyddsåtgärderna, till exempel standardavtalsklausulerna, inte kan upprätthållas i praktiken. I vissa fall kan inga ytterligare skyddsåtgärder kompensera för bristerna och göra överföringen tillåten. I sådana fall behöver ni avstå ifrån eller avbryta överföringen. Europeiska dataskyddsstyrelsen (EDPB) har antagit rekommendationer om när ytterligare skyddsåtgärder kan behövas och vad sådana åtgärder kan vara.

Rekommendationer 01/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls

Mer om Schrems II-domen och EDPB:s rekommendationer om ytterligare skyddsåtgärder

Bindande företagsbestämmelser

Bindande företagsbestämmelser (Binding Corporate Rules, BCR) är regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin behandling av personuppgifter. Bindande företagsbestämmelser måste godkännas av IMY eller någon annan tillsynsmyndighet i EU.

I dataskyddsförordningen finns detaljerade bestämmelser om vad bindande företagsbestämmelser ska innehålla och hur det går till när tillsynsmyndigheten behandlar ärenden om att få bindande företagsbestämmelser godkända. Innan en tillsynsmyndighet godkänner bindande företagsbestämmelser ska den begära yttrande från EDPB, där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.

Så gör ni för att få era bindade företagsbestämmelser godkända

Standardavtalsklausuler som EU-kommissionen har beslutat om

Den 4 juni 2021 antog EU-kommissionen nya standardavtalsklausuler (Standard Contractual Clauses, SCCs) för överföring av personuppgifter till tredjeland. Sedan den 27 december 2022 har dessa standardavtalsklausuler helt ersatt de klausuler som EU-kommissionen tidigare fattat beslut om enligt dataskyddsdirektivet.

Standardavtalsklausuler kan användas för att vidta lämpliga skyddsåtgärder enligt artikel 46.2 c GDPR. Det innebär att om ni ingår avtal, som innehåller dessa standardavtalsklausuler, med någon utanför EU/EES, så är det som regel tillåtet att överföra personuppgifter dit. I vissa fall kan dock ytterligare skyddsåtgärder behöva vidtas, vilket ni kan läsa mer om ovan. Observera att ni inte får ändra i klausulerna. Om det är nödvändigt kan ni få lägga till klausuler om affärsrelaterade frågor, men sådana får då inte strida mot någon standardavtalsklausul.

Standardavtalsklausulerna innehåller skyldigheter dels för personuppgiftsansvariga och personuppgiftsbiträden som vill föra över personuppgifter till länder utanför EU/EES (exportören), dels för personuppgiftsansvariga eller personuppgiftsbiträden som tar emot sådana uppgifter (importören). Klausulerna reglerar också andra frågor kring överföringen, till exempel de registrerades rättigheter och hur tvister med anledning av avtalet ska lösas.

Vidare är standardavtalsklausulerna anpassade efter olika situationer, nämligen överföring från (i) personuppgiftsansvarig till personuppgiftsansvarig, (ii) personuppgiftsansvarig till personuppgiftsbiträde, (iii) personuppgiftsbiträde till personuppgiftsbiträde och (iv) personuppgiftsbiträde till personuppgiftsansvarig. Ni ska därmed välja den variant som är tillämplig i ert fall.

I standardavtalsklausulerna är också kraven i artikel 28.3 GDPR integrerade, vilket innebär att parterna inte behöver ingå något separat personuppgiftsbiträdesavtal. Enligt standardavtalsklausulerna är det även möjligt för flera parter att ansluta sig till samma avtal.

Notera att standardavtalsklausulerna kan användas när uppgifter överförs från en exportör vars behandling omfattas av GDPR till en importör vars behandling inte omfattas av GDPR. EU-kommissionen har dock meddelat att man arbetar med att ta fram klausuler som täcker även de fall då GDPR ska tillämpas på importörens behandling (enligt artikel 3).

Standardavtalsklausulerna samt ett dokument med frågor och svar finns på EU-kommissionens webbplats.

Standardavtalsklausulerna

Dokument med frågor och svar

Uppförandekoder och certifieringsmekanismer

Om en mottagare i ett land utanför EU/EES anslutit sig till en godkänd uppförandekod eller godkänd certifieringsmekanism kan det vara tillåtet att överföra personuppgifter dit. Detta gäller under förutsättning att dessa medför rättsligt bindande och verkställbara skyldigheter för mottagaren av personuppgifterna.

EDPB har antagit riktlinjer om uppförandekoder som grund för överföring av personuppgifter till tredjeland. Riktlinjerna innehåller närmare vägledning om vad som krävs av en sådan uppförandekod och hur det går till att få en sådan uppförandekod godkänd.

Riktlinjer 04/2021 om uppförandekoder som grund för överföring av personuppgifter till tredjeland

EDPB har även antagit riktlinjer om certifiering som grund för tredjelandsöverföring. 

Riktlinjer 07/2022 om certifiering som grund för överföring av personuppgifter till tredjeland

Rättsligt bindande instrument mellan myndigheter

Det är tillåtet att grunda en överföring av personuppgifter till ett land utanför EU/EES på ett så kallat rättsligt bindande och verkställbart instrument, om överföringen sker mellan myndigheter. Ett sådant instrument mellan myndigheter kan vara ett samförståndsavtal eller ett informationsutbytesavtal inom till exempel skatteområdet.

EDPB har antagit riktlinjer om rättsligt bindande instrument (respektive administrativa överenskommelser) mellan myndigheter.

Riktlinjer 2/2020 om artikel 46.2(a) och artikel 46.3(b) i GDPR för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES

IMY kan ge särskilt tillstånd

Ni får också överföra personuppgifter till ett land utanför EU/EES om ni har fått tillstånd från IMY. Ett sådant tillstånd kan lämnas om överföringen grundar sig på avtalsklausuler (så kallade ad hoc-klausuler) mellan den som för över personuppgifter och mottagaren av dessa. Om det gäller överföring av personuppgifter mellan myndigheter kan tillstånd även lämnas om överföringen grundar sig på bestämmelser i administrativa överenskommelser som innehåller verkställbara och faktiska rättigheter för de registrerade. Innan IMY beslutar om särskilt tillstånd ska ett yttrande inhämtas från EDPB, där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.

EDPB har antagit riktlinjer om administrativa överenskommelser (respektive rättsligt bindande instrument) mellan myndigheter.

Riktlinjer 2/2020 om artikel 46.2(a) och artikel 46.3(b) i GDPR för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES

Senast uppdaterad: 8 september 2023
Sidans etiketter Dataskydd