Europeiska dataskyddsstyrelsen ger ut riktlinjer för internationella överföringar

Europeiska dataskyddsstyrelsen (EDPB) har publicerat en vägledning om samspelet mellan GDPRs territoriella räckvidd och bestämmelserna om internationella överföringar i kapitel V. Syftet är att hjälpa personuppgiftsansvariga och personuppgiftsbiträden i EU att avgöra om en behandling utgör en internationell överföring enligt GDPR. Riktlinjerna är öppna för konsultation, vilket betyder att vem som helst kan lämna ett remissvar fram till slutet av januari 2022.

I riktlinjerna anges tre kriterier som alla ska vara uppfyllda för att en databehandling ska betraktas som en internationell överföring:

1. Den som exporterar uppgifterna (en personuppgiftsansvarig eller ett biträde) omfattas av dataskyddsförordningen för den aktuella behandlingen.

2. Den som exporterar uppgifterna överför eller gör personuppgifterna tillgängliga för den som importerar uppgifterna (en annan personuppgiftsansvarig, gemensam personuppgiftsansvarig eller personuppgiftsbiträde).

3. Den som importerar uppgifterna befinner sig i ett tredjeland eller är en internationell organisation.

GDPRs juridiska definition av en internationell överföring är bredare än vad man först kan anta. EDPB klargör att en internationell överföring äger rum både när en exportör skickar uppgifterna eller när uppgifterna bara görs tillgängliga för åtkomst till någon i ett tredjeland, under de villkor som anges ovan.

Riktlinjerna innehåller sju exempelsituationer. Ett av exemplen är när ett företag skickar en anställd på tjänsteresa till ett tredje land och den anställde ansluter sig på distans till företagets nätverk. Eftersom informationen juridiskt sett skickas internt inom samma företag och inte till en annan personuppgiftsansvarig eller personuppgiftsbiträde är det inte fråga om en internationell överföring. Datadelning mellan företag i samma koncern (moderbolag och dotterbolag) som är separata personuppgiftsansvariga eller personuppgiftsbiträden kan dock enligt vägledningen utgöra en internationell överföring.

Ett annat exempel är när en europeisk konsument gör ett köp online från en butik utanför EU. Butiken har inget etableringsställe i Europeiska unionen. I detta fall, där kunden har skickat sina personuppgifter direkt, är det inte fråga om en internationell överföring av personuppgifter i den mening som avses i GDPR. Även om det inte är en internationell överföring kan databehandlingsverksamheten ändå omfattas av artikel 3.2 i GDPR påpekar EDPB. Enligt artikel 3.2 i GDPR kan ett företag utanför EU som erbjuder tjänster/varor till européer eller som övervakar deras beteende (till exempel hur de interagerar med en hemsida) ändå vara tvunget att följa bestämmelserna i GDPR.   

EDPB menar att man bör anpassa skyddsåtgärderna till situationen. EDPB påpekar att när man utvecklar relevanta överföringsverktyg (som för närvarande endast finns i teorin) ska arbetet ske utifrån faktiska omständigheterna. Standard- eller ad hoc-avtalsklausuler bör ta hänsyn till vilka regler dataimportören redan omfattas av, för att inte upprepa skyldigheterna i dataskyddsförordningen. Skyddsåtgärderna ska snarare fylla de luckor som finns på grund av kolliderande nationella lagar och rätten till tillgång för myndigheterna i tredjelandet anser EDPB. Verktygen ska alltså enligt EDPB behandla de åtgärder som ska vidtas vid lagkonflikter mellan lagstiftningen i tredjeland och GDPR samt för att möta rättsligt bindande krav från utländska myndigheter om att lämna ut personuppgifter.

Läs pressmeddelandet här

Integritetsskyddsmyndigheten (IMY) har också publicerat information på svenska här

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart