Säkerhet

Vad menas med tredjelandsöverföringar?

Dataskyddsförordningen (“GDPR”) förbjuder idag att man skickar personuppgifter till tredjeländer utan laglig grund. Detta kallas för att man gör en tredjelandsöverföring.

Med tredjelandsöverföringar så syftar man till överföringar som görs till länder utanför EU/EES. Om överföringar av personuppgifter görs till ett tredjeland utan laglig grund riskerar man att åka på höga sanktionsavgifter.

Tidigare var det möjligt att vid tredjelandsöverföringar till USA förlita sig på skyddsåtgärden som kallades för Privacy Shield. Privacy Shield var en överenskommelse om skydd för personuppgifter mellan EU och USA som träffades år 2016. De företag som anmält sig till U.S. Department of Commerce’s International Trade Administration var därefter tvungna att följa de uppsatta regler som Privacy Shield innebar.

Detta är idag inte längre en skyddsåtgärd att luta sig mot vid tredjelandsöverföringar efter EU-domstolen ogiltigförklarade Privacy Shield i den dom som föll under sommaren år 2020, den så kallade Shrems II-domen.
Detta har skapar problem för många som har varit beroende av att kunna föra över sina personuppgifter till bolag i USA.

Det finns dock vissa juridiska och tekniska skyddsåtgärder man kan vidta idag för att kunna genomföra dessa överföringar. Det är dock viktigt att förstå att man måste göra bedömningen från fall till fall för att säkerställa att man handlat på ett korrekt sätt.

Skyddsåtgärder

För att kunna föra över personuppgifter till länder som inte omfattas av GDPR, det vill säga länder utanför EU/EES behöver vissa skyddsåtgärder vara uppfyllda. Dessa skyddsåtgärder är idag:

  • Beslut från EU-kommissionen om adekvat skyddsnivå
  • Lämpliga skyddsåtgärder som bindande företagsbestämmelser (Binding Corporate Rules)
  • Standardavtalsklausuler (Standard Contractual Clauses)
  • Särskilda situationer och enstaka fall. Detta alternativ gäller exempelvis om överföringen är en engångsföreteelse, om den är nödvändig för ett specifikt ändamål och om personuppgifterna som överförs är begränsade.

EDPB, Europeiska dataskyddsstyrelsen, antog i november 2020 rekommendationer om åtgärder som komplement till överföringsverktyg för att säkerställa att skyddet av personuppgifter levs upp till den nivån som fastställs i GDPR.
Det är fortfarande osäkert om det är tillräckligt att förlita sig på dessa rekommendationer för att säkerställa alla krav som ställs utifrån lagstiftning är uppnådda, men det är samtidigt den bästa rådgivningen som finns tillgänglig i dagsläget.

Om ni är osäkra på om de Tredjelandsöverföringar ni gör genomförs på ett korrekt sätt, kan vi på Kontract hjälpa er att tackla informationssäkerheten och dataskyddet i frågan både ur ett tekniskt och ett juridiskt perspektiv.

Publicerat den 25 maj 2021
Får vi bjuda på en kaka? Denna webbplats använder cookies. Läs mer i vår cookiepolicy.