Deloitte Legal Guide to Cross-Border Secured Transactions

Analys

Tre frågor om överföringar av personuppgifter utanför EU/EES 

Som huvudregel är det otillåtet att överföra personuppgifter utanför Europeiska unionen (“EU”) och Europeiska ekonomiska samarbetsområdet (“EES”), detta framgår av dataskyddsförordningen (”GDPR”). I kapitel V i GDPR anges undantag från huvudregeln. Överföringar av personuppgifter utanför EU och EES får genomföras om EU-kommissionen beslutat att mottagarlandet säkerställer en adekvat skyddsnivå, om skyddsåtgärder vidtagits (t.ex. Standardavtalsklausuler mellan importören och exportören antagna av EU-kommissionen eller bindande företagsbestämmelser) samt i enstaka fall och i särskilda situationer. Överföringar utanför EU är en komplex fråga och sedan Europeiska unionens domstol (“EU-domstolen”) meddelade dom i mål C-311/18 (”Schrems II”) ställs ytterligare krav på dessa. I denna artikel sammanställs därför tre frågor och svar rörande överföringar av personuppgifter utanför EU och EES.

Utforska innehåll

Vad är personuppgifter?

I GDPR definieras personuppgifter som varje upplysning som, direkt eller indirekt, avser en identifierad eller identifierbar fysisk person. Information som kan utgöra personuppgifter är exempelvis namn, adress, bilder, ljudfiler, registreringsnummer på en bil samt IP-adresser. Definitionen av personuppgiftsbehandling är också bred. Det kan exempelvis innebära att en person innehar eller har tillgång till personuppgifter (exempelvis genom ett mail i en mailinkorg eller på ett utskrivet papper). Löneadministration, rekrytering samt videoövervakning är typiska exempel på företagssammanhang där personuppgiftsbehandling kan förekomma.

Vad innebär överföring av personuppgifter till tredje land?

Ett land som inte är del av EU/EES är att betrakta som ett tredjeland. Exempelvis blev Storbritannien, i samband med Brexit, ett tredjeland. Även USA är ett tredjeland i förhållande till EU. När personuppgifter överförs till ett s.k. tredjeland aktualiseras de bestämmelser som stadgas i kapitel V i GDPR. En överföring till ett tredjeland kan exempelvis utgöras av att personuppgifter delas via post eller vid lagring av personuppgifter på fysiska servrar utanför EU.

Europeiska dataskyddsstyrelsen (“EDPB”) har nyligen publicerat en efterlängtad riktlinje rörande överföringar av personuppgifter till ett tredjeland. De nya riktlinjerna fastställer tre krav som alla måste vara uppfyllda för att en överföring ska anses föreligga.

  • För det första krävs det att den aktuella behandlingen av personuppgifter omfattas av GDPR. Företag som är etablerade inom EU omfattas av GDPR men även företag som riktar tjänster eller varor mot den europeiska marknaden eller som övervakar personer inom EU, omfattas. GDPR har alltså ett brett scope och träffar många gånger företag utan hemvist i EU.
  • För det andra krävs att den personuppgiftsansvariga eller personuppgiftsbiträdet (benämnd som exportör i riktlinjerna) överför, avslöjar eller på annat sätt tillgängliggör personuppgifterna för en annan personuppgiftsansvarig eller personuppgiftsbiträde (benämnd som importör i riktlinjerna).
  • Slutligen förutsätts att importören befinner sig i ett tredje land eller att denna är att betrakta som en internationell organisation. Det tredje kriteriet anses uppfyllt oberoende av om importören omfattas av GDPR.

Om samtliga kriterier är uppfyllda föreligger en tredjelandsöverföring enligt GDPR och kapitel V blir tillämpligt.

När är en tredjelandsöverföring tillåten?

För att en tredjelandsöverföring ska anses laglig och kvalificera under undantaget krävs att en av följande förutsättningar är uppfyllda:

  • EU-kommissionen har fattat beslut om att ett visst land utanför EU säkerställer en adekvat skyddsnivå (Artikel 45 i GDPR). Exempel på länder som anses säkerställa en adekvat skyddsnivå är Storbritannien och Kanada.
  • Lämpliga skyddsåtgärder har vidtagits. Exempelvis användning av standardavtalsklausuler antagna av EU-kommissionen eller bindande företagsbestämmelser godkända av ansvarig dataskyddsmyndighet (Artikel 46 och 47 i GDPR).
  • Förekomsten av enstaka fall och särskilda situationer (Artikel 49 i GDPR).

Som framgår ovan kan användning av standardavtalsklausuler utgöra en lämplig skyddsåtgärd. Av intresse att belysa är att EU-kommissionen publicerade nya standardavtalsklausuler för tredjelandsöverföringar i april 2021. För pågående behandlingar av personuppgifter ska företag och organisationer byta ut de äldre standardavtalsklausulerna senast i december 2022. För nya behandlingar av personuppgifter ska de senast publicerade standardavtalsklausulerna tillämpas omgående.

Sedan EU-domstolen meddelade dom i Schrems II har dessutom nya krav tillkommit avseende tredjelandsöverföringar. I de fall EU-kommissionen inte fattat beslut om adekvat skyddsnivå för det land till vilket personuppgifterna överförs, krävs att den personuppgiftsansvariga utreder huruvida personuppgifterna kan säkerställas ett lämpligt skydd i mottagarlandet. En individuell bedömning ska göras i varje enskilt fall. Om en tillräcklig skyddsnivå inte kan säkerställas, krävs att den personuppgiftsansvariga vidtar ytterligare skyddsåtgärder och om inte det är möjligt får ingen överföring av personuppgifter genomföras.

*Informationen ska vare sig ses som rådgivande eller uttömmande. För rådgivning i enskilda fall vänligen kontakta oss via nedan kontaktuppgifter.

Önskar du rådgivning avseende tredjelandsöverföringar?

Välkommen att kontakta oss!

Lisa Bastholm
Manager | Tax & Legal| Deloitte AB
+46 70 080 20 66 | lbastholm@deloitte.se

Kristin E Haselhofer
Consultant | Tax & Legal | Deloitte AB
+46 70 080 38 62 | khaselhofer@deloitte.se

Elinor Berg
Associate | Tax & Legal | Deloitte AB
+46 70 080 35 55 | eliberg@deloitte.se

Hade du nytta av den här informationen?