Riktlinje klargör överföring till tredjeland
Den 14 februari antog den Europeiska dataskyddstyrelsen, EDPB, uppdaterade riktlinjer om samspelet mellan artikel 3 (territoriella tillämpningsområdet) och kapitel V (internationella överföringar) i GDPR som bland annat innehåller en tolkning av begreppet överföring till tredjeland. Riktlinjerna antogs första gången i november 2021 och har därefter varit ute på publik konsultation inför ett slutligt antagande. Det är vi på IMY som har lett arbetet med att ta fram riktlinjerna.
De här riktlinjerna har varit efterfrågade eftersom det länge har funnits oklarheter kring vad som egentligen utgör en tredjelandsöverföring. Det fanns inte någon definition av detta i dataskyddsdirektivet, det finns inte någon definition i GDPR och EU-domstolens praxis har minst sagt varit begränsad. I och med GDPR breddades dessutom det territoriella tillämpningsområdet genom introduceringen av artikel 3.2, som innebär att även aktörer i tredjeland som riktar sin verksamhet mot EU behöver tillämpa GDPR. Denna viktiga förändring skedde utan någon egentlig anpassning av kapitel V eller förklaring av hur reglerna förhåller sig till varandra och det är bland annat detta samspel som EDPB har velat klargöra genom dessa riktlinjer.
Riktlinjerna innehåller kriterier för vad som anses utgöra en tredjelandsöverföring, vilka i sak inte har ändrats i den slutliga versionen. Det första kriteriet innebär att det ska finnas en personuppgiftsansvarig eller ett personuppgiftsbiträde vars behandling träffas av GDPR (det vill säga en ”exportör” av personuppgifter). Det innebär att överföringar kan ske från ansvariga och biträden som är etablerade i EU (artikel 3.1) men också från ansvariga och biträden i tredjeland vars verksamhet riktas mot registrerade i EU (artikel 3.2). Detta följer bland annat av att GDPR inte skiljer på vilka skyldigheter som gäller för ansvariga och biträden vars behandling omfattas av artikel 3.1 respektive 3.2.
Det andra kriteriet innebär att exportören skickar eller gör personuppgifter tillgängliga för en annan personuppgiftsansvarig eller personuppgiftsbiträde (det vill säga en ”importör” av personuppgifter). Att uppgifter görs tillgängliga innebär exempelvis att även fjärråtkomst från ett tredjeland kan räknas som en överföring. Att importören ska vara en annan ansvarig eller biträde betyder att sådana behandlingar som sker inom ramen för en och samma ansvarig eller biträde inte betraktas som överföringar, till exempel när en anställd åker på tjänsteresa till ett tredjeland och arbetar från sin bärbara dator (med tillgång till arbetsgivarens uppgifter). Eftersom de lämpliga skyddsåtgärder som räknas upp i artikel 46 är bilaterala/kontraktuella verktyg som i princip förutsätter att avtal ingås mellan olika parter, hade en annan tolkning av begreppet överföring (än att separata ansvariga/biträden behövs) varit svår att tillämpa i praktiken.
Det tredje och sista kriteriet innebär att importören finns i tredjeland eller är en internationell organisation, men oavsett om behandlingen omfattas av GDPR eller inte. Det beror på att, även om importörens behandling träffas av GDPR, så innebär det faktum att uppgifter skickas till en aktör i tredjeland, som omfattas av utländska lagar, ökade risker i sig, bland annat i form av att utländska myndigheter kan komma åt uppgifter på ett oproportionerligt sätt eller att det i övrigt kan finnas lagstiftning som står i strid med EU-rätten. Dessutom kan det bli svårare för registrerade att få upprättelse och för unionens tillsynsmyndigheter och domstolar att agera mot aktören i fråga. Här kan det också nämnas att EU-kommissionen, som sommaren 2021 presenterade nya standardavtalsklausuler (Standard Contractual Clauses, SCC) för överföring, har bekräftat att det pågår ett arbete med att ta fram ytterligare standardavtalsklausuler som, till skillnad från tidigare klausuler, ska vara anpassade för just den här situationen, det vill säga överföring till en importör i tredjeland vars behandling omfattas av GDPR.
Avslutningsvis, om de tre kriterierna är uppfyllda betraktas behandlingen som en överföring till tredjeland, vilket innebär att den måste ha stöd i kapitel V för att vara tillåten, exempelvis att det finns ett beslut om adekvat skyddsnivå (artikel 45) eller att lämpliga skyddsåtgärder (artikel 46) har vidtagits. Om kriterierna inte är uppfyllda anses behandlingen inte utgöra en överföring till tredjeland, vilket betyder att kapitel V inte behöver tillämpas. Viktigt att komma ihåg är dock, vilket också betonas i riktlinjerna, att även om en viss behandling inte betraktas som en överföring (se exemplet ovan med en anställd på tjänsteresa) så betyder inte det att behandlingen per automatik är tillåten. Den personuppgiftsansvarige ansvarar för sina behandlingar och måste följa GDPR i sin helhet, inklusive vidta tillräckliga säkerhetsåtgärder (artikel 32), oavsett var i världen behandlingen sker. Behandling av personuppgifter utanför EU kan många gånger innebära förhöjda risker, till exempel för att utländska myndigheter kan få tillgång till uppgifterna, vilka behöver identifieras och hanteras för att behandlingen ska vara tillåten enligt GDPR.
Petra Lennhede, senior jurist på IMY:s EU-sekretariat