Europeiska dataskyddsstyrelsen ger ut riktlinjer för internationella överföringar
Europeiska dataskyddsstyrelsen (EDPB) har publicerat en vägledning om samspelet mellan GDPRs territoriella räckvidd och bestämmelserna om internationella överföringar i kapitel V. Syftet är att hjälpa personuppgiftsansvariga och personuppgiftsbiträden i EU att avgöra om en behandling utgör en internationell överföring enligt GDPR. Riktlinjerna är öppna för konsultation, vilket betyder att vem som helst kan lämna ett remissvar fram till slutet av januari 2022.
I riktlinjerna anges tre kriterier som alla ska vara uppfyllda för att en databehandling ska betraktas som en internationell överföring:
1. Den som exporterar uppgifterna (en personuppgiftsansvarig eller ett biträde) omfattas av dataskyddsförordningen för den aktuella behandlingen.
2. Den som exporterar uppgifterna överför eller gör personuppgifterna tillgängliga för den som importerar uppgifterna (en annan personuppgiftsansvarig, gemensam personuppgiftsansvarig eller personuppgiftsbiträde).
3. Den som importerar uppgifterna befinner sig i ett tredjeland eller är en internationell organisation.
GDPRs juridiska definition av en internationell överföring är bredare än vad man först kan anta. EDPB klargör att en internationell överföring äger rum både när en exportör skickar uppgifterna eller när uppgifterna bara görs tillgängliga för åtkomst till någon i ett tredjeland, under de villkor som anges ovan.
Riktlinjerna innehåller sju exempelsituationer. Ett av exemplen är när ett företag skickar en anställd på tjänsteresa till ett tredje land och den anställde ansluter sig på distans till företagets nätverk. Eftersom informationen juridiskt sett skickas internt inom samma företag och inte till en annan personuppgiftsansvarig eller personuppgiftsbiträde är det inte fråga om en internationell överföring. Datadelning mellan företag i samma koncern (moderbolag och dotterbolag) som är separata personuppgiftsansvariga eller personuppgiftsbiträden kan dock enligt vägledningen utgöra en internationell överföring.
Ett annat exempel är när en europeisk konsument gör ett köp online från en butik utanför EU. Butiken har inget etableringsställe i Europeiska unionen. I detta fall, där kunden har skickat sina personuppgifter direkt, är det inte fråga om en internationell överföring av personuppgifter i den mening som avses i GDPR. Även om det inte är en internationell överföring kan databehandlingsverksamheten ändå omfattas av artikel 3.2 i GDPR påpekar EDPB. Enligt artikel 3.2 i GDPR kan ett företag utanför EU som erbjuder tjänster/varor till européer eller som övervakar deras beteende (till exempel hur de interagerar med en hemsida) ändå vara tvunget att följa bestämmelserna i GDPR.
EDPB menar att man bör anpassa skyddsåtgärderna till situationen. EDPB påpekar att när man utvecklar relevanta överföringsverktyg (som för närvarande endast finns i teorin) ska arbetet ske utifrån faktiska omständigheterna. Standard- eller ad hoc-avtalsklausuler bör ta hänsyn till vilka regler dataimportören redan omfattas av, för att inte upprepa skyldigheterna i dataskyddsförordningen. Skyddsåtgärderna ska snarare fylla de luckor som finns på grund av kolliderande nationella lagar och rätten till tillgång för myndigheterna i tredjelandet anser EDPB. Verktygen ska alltså enligt EDPB behandla de åtgärder som ska vidtas vid lagkonflikter mellan lagstiftningen i tredjeland och GDPR samt för att möta rättsligt bindande krav från utländska myndigheter om att lämna ut personuppgifter.
Läs pressmeddelandet här
Integritetsskyddsmyndigheten (IMY) har också publicerat information på svenska här
