Hoppa till innehåll på sidan

Lämpliga skyddsåtgärder

Personuppgifter får överföras till ett land utanför EU/EES om den personuppgiftsansvariga vidtar lämpliga skyddsåtgärder i form av exempelvis bindande företagsbestämmelser eller standardavtalsklausuler.

Personuppgifter får överföras till ett land utanför EU/EES om ni vidtar så kallade lämpliga skyddsåtgärder:

  • bindande företagsbestämmelser
  • standardavtalsklausuler som EU-kommissionen har beslutat om
  • godkända uppförandekoder eller certifieringsmekanismer
  • rättsligt bindande och verkställbart instrument
  • ad hoc-klausuler som godkänts av IMY
  • administrativ överenskommelse som godkänts av IMY.

Det måste dessutom finnas lagstadgade rättigheter och möjlighet för de registrerade att klaga på personuppgiftsbehandlingen och få den prövad i domstol.

Om skyddsnivån i mottagarlandet inte är tillräcklig kan ni behöva vidta ytterligare skyddsåtgärder utöver till exempel standardavtalsklausuler eller bindande företagsbestämmelser. Så är fallet om det skydd som ska garanteras av de lämpliga skyddsåtgärderna, till exempel standardavtalsklausulerna, inte kan upprätthållas i praktiken. I vissa fall kan inga ytterligare skyddsåtgärder kompensera för bristerna och göra överföringen tillåten. I sådana fall behöver ni avstå ifrån eller avbryta överföringen. Europeiska dataskyddsstyrelsen (EDPB) har antagit rekommendationer (01/2020) om när ytterligare skyddsåtgärder kan behövas och vad sådana åtgärder kan vara.

Rekommendationer 01/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls (engelsk version)

Mer om Schrems II-domen och EDPB:s rekommendationer om ytterligare skyddsåtgärder

Bindande företagsbestämmelser

Bindande företagsbestämmelser (Binding Corporate Rules, BCR) är regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin behandling av personuppgifter. Bindande företagsbestämmelser måste godkännas av IMY eller någon annan tillsynsmyndighet i EU.

I dataskyddsförordningen finns detaljerade bestämmelser om vad bindande företagsbestämmelser ska innehålla och hur det går till när tillsynsmyndigheten behandlar ärenden om att få bindande företagsbestämmelser godkända. Innan en tillsynsmyndighet godkänner bindande företagsbestämmelser ska den begära yttrande från EDPB, där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.

Så gör ni för att få era bindade företagsbestämmelser godkända

Standardavtalsklausuler som EU-kommissionen har beslutat om

Den 4 juni 2021 antog EU-kommissionen nya standardavtalsklausuler (Standard Contractual Clauses, SCC) för överföring av personuppgifter till tredjeland. Sedan den 27 december 2022 har dessa standardavtalsklausuler helt ersatt de klausuler som EU-kommissionen tidigare fattat beslut om enligt dataskyddsdirektivet.

Standardavtalsklausuler kan användas för att vidta lämpliga skyddsåtgärder enligt artikel 46.2 c dataskyddsförordningen. Det innebär att om ni ingår avtal, som innehåller dessa standardavtalsklausuler, med någon utanför EU/EES, är det som regel tillåtet att överföra personuppgifter dit. I vissa fall kan dock ytterligare skyddsåtgärder behöva vidtas, vilket ni kan läsa mer om ovan. Observera att ni inte får ändra i klausulerna. Om det är nödvändigt kan ni få lägga till klausuler om affärsrelaterade frågor, men sådana får då inte strida mot någon standardavtalsklausul.

Standardavtalsklausulerna innehåller skyldigheter dels för personuppgiftsansvariga och personuppgiftsbiträden som vill föra över personuppgifter till länder utanför EU/EES (exportören), dels för personuppgiftsansvariga eller personuppgiftsbiträden som tar emot sådana uppgifter (importören). Klausulerna reglerar också andra frågor kring överföringen, till exempel de registrerades rättigheter och hur tvister med anledning av avtalet ska lösas.

Vidare är standardavtalsklausulerna anpassade efter olika situationer, nämligen överföring från

  • (i) personuppgiftsansvarig till personuppgiftsansvarig
  • (ii) personuppgiftsansvarig till personuppgiftsbiträde
  • (iii) personuppgiftsbiträde till personuppgiftsbiträde
  • (iv) personuppgiftsbiträde till personuppgiftsansvarig.

Ni ska därmed välja den variant som är tillämplig i ert fall.

I standardavtalsklausulerna är också kraven i artikel 28.3 i dataskyddsförordningen integrerade, vilket innebär att parterna inte behöver ingå något separat personuppgiftsbiträdesavtal. Enligt standardavtalsklausulerna är det även möjligt för flera parter att ansluta sig till samma avtal.

Notera att standardavtalsklausulerna kan användas när uppgifter överförs från en exportör vars behandling omfattas av dataskyddsförordningen till en importör vars behandling inte omfattas av dataskyddsförordningen. EU-kommissionen har dock meddelat att man arbetar med att ta fram klausuler som täcker även de fall då dataskyddsförordningen ska tillämpas på importörens behandling (enligt artikel 3).

Standardavtalsklausulerna på EU-kommissionens webbplats (engelsk version)

Uppförandekoder och certifieringar

Om en mottagare i ett land utanför EU/EES anslutit sig till en godkänd uppförandekod eller godkänd certifieringsordning kan det vara tillåtet att överföra personuppgifter dit. Detta gäller under förutsättning att dessa medför rättsligt bindande och verkställbara skyldigheter för mottagaren av personuppgifterna.

EDPB har antagit riktlinjer (04/2021) om uppförandekoder som grund för överföring av personuppgifter till tredjeland. Riktlinjerna innehåller närmare vägledning om vad som krävs av en uppförandekod som överföringsverktyg och hur det går till att få en sådan godkänd.

EDPB:s riktlinjer 04/2021 om uppförandekoder som grund för överföring av personuppgifter till tredjeland (engelsk version)

EDPB har även antagit motsvarande riktlinjer (07/2022) om certifiering som grund för tredjelandsöverföring. 

EDPB:s riktlinjer 07/2022 om certifiering som grund för överföring av personuppgifter till tredjeland (engelsk version)

Rättsligt bindande instrument mellan offentliga organ

Det är tillåtet att grunda en överföring av personuppgifter till ett land utanför EU/EES på ett så kallat rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ. Ett sådant instrument kan vara ett internationellt avtal, fördrag eller konvention som ingåtts mellan stater, som är rättsligt bindande och därmed kan verkställas i tredjeland, såsom ett informationsutbytesavtal inom till exempel skatteområdet.

EDPB har antagit riktlinjer (2/2020) om rättsligt bindande instrument (respektive administrativa överenskommelser) mellan myndigheter.

Riktlinjer 2/2020 om artikel 46.2(a) och artikel 46.3(b) i GDPR för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES (engelsk version)

IMY kan ge särskilt tillstånd

Ni får också överföra personuppgifter till ett land utanför EU/EES om ni har fått tillstånd från IMY. Ett sådant tillstånd kan lämnas om överföringen grundar sig på avtalsklausuler (så kallade ad hoc-klausuler) mellan den som för över personuppgifter och mottagaren av dessa. Om det gäller överföring av personuppgifter mellan myndigheter kan tillstånd även lämnas om överföringen grundar sig på bestämmelser i administrativa överenskommelser, till exempel ett samförståndsavtal, som inte är rättsligt bindande, men som innehåller verkställbara och faktiska rättigheter för de registrerade. Innan IMY beslutar om särskilt tillstånd ska ett yttrande inhämtas från EDPB, där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.

EDPB har antagit riktlinjer (2/2020) om administrativa överenskommelser (respektive rättsligt bindande instrument) mellan myndigheter.

Riktlinjer 2/2020 om artikel 46.2(a) och artikel 46.3(b) i GDPR för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES (engelsk version)

Mer information

Fördjupa dig

Rättsinformation

Fördjupa dig
Senast uppdaterad: 14 november 2024
Sidans etiketter Dataskydd