Vilka regler gäller om min organisation överför uppgifter utanför EU?

Svar

I dagens globaliserade värld finns det stora mängder gränsöverskridande överföringar av personuppgifter, som ibland lagras på servrar i olika länder. Skyddet enligt den allmänna dataskyddsförordningen följer med uppgifterna, vilket innebär att de regler som skyddar personuppgifter fortsätter att gälla oavsett var uppgifterna hamnar. Detta gäller också när uppgifter överförs till ett land som inte är medlem i EU (nedan kallat tredjeland).

Förordningen ställer olika medel till förfogande för att organisera överföringar av uppgifter från EU till ett tredjeland:

Ibland kan ett tredjeland förklaras ge en tillräcklig skyddsnivå genom ett beslut av Europeiska kommissionen (”beslut om adekvat skyddsnivå”), vilket innebär att uppgifter kan överföras till ett annat företag i detta tredjeland utan att uppgiftsexportören måste tillhandahålla ytterligare skydd eller underställs ytterligare villkor. Med andra ord likställs en överföring till ett ”adekvat” tredjeland med en överföring av uppgifter inom EU.

När inget beslut om adekvat skyddsnivå finns, kan en överföring äga rum genom tillhandahållande av lämpliga skyddsåtgärder och på villkor att lagstadgade rättigheter och effektiva rättsmedel för enskilda personer finns tillgängliga. Sådana lämpliga skyddsåtgärder är bland annat:

när det gäller en koncern eller grupper av företag som är engagerade i gemensam ekonomisk verksamhet, kan företag överföra personuppgifter grundat på så kallade bindande företagsbestämmelser,
avtalsordningar med mottagaren av personuppgifterna, till exempel med de standardavtalsparagrafer som godkänts av Europeiska kommissionen,
efterlevnad av en uppförandekod eller certifieringsmekanism samtidigt som man erhåller bindande och verkställbara åtaganden från mottagaren att tillämpa de lämpliga skyddsåtgärderna för att skydda de överförda uppgifterna.

Om de finns planer på en överföring av personuppgifter till ett tredjeland som inte är föremål för något beslut om adekvat skyddsnivå och om lämpliga skyddsåtgärder saknas, kan en överföring göras grundat på ett antal undantag för särskilda situationer, till exempel när en enskild person uttryckligen har samtyckt till den föreslagna överföringen efter att ha fått all information som behövs om riskerna med överföringen.

Exempel

Ert franska företag tänker utöka sina tjänster till Sydamerika, främst Argentina, Uruguay och Brasilien. Första steget blir då att kontrollera om det finns något beslut om adekvat skyddsnivå för dessa tredjeländer. I det här fallet har både Argentina och Uruguay förklarats ha adekvat skyddsnivå. Ni kommer att kunna överföra personuppgifter till dessa två tredjeländer utan några ytterligare skyddsåtgärder. Till Brasilien däremot, som inte är föremål för något beslut om adekvat skyddsnivå, måste ni organisera överföringarna på ett sådant sätt att lämpliga skyddsåtgärder tillhandahålls.

Referenser

Kapitel V (artikel 44–50); skäl 101–116
Europeiska dataskyddsstyrelsens senaste riktlinjer om internationella överföringar
Se även som referens Europeiska kommissionens meddelande Utbyte och skydd av personuppgifter i en globaliserad värld, 10 januari 2017

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.

References

Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
EDPB's latest guidelines on International transfers:
See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World 1, 10 January 2017

1 COM(2017)7 final