Vad menas med tredjelandsöverföringar?
Med tredjelandsöverföringar så syftar man till överföringar som görs till länder utanför EU/EES. Om överföringar av personuppgifter görs till ett tredjeland utan laglig grund riskerar man att åka på höga sanktionsavgifter.
Dataskyddsförordningen (“GDPR”) förbjuder idag att man skickar personuppgifter till tredjeländer utan laglig grund. Detta kallas för att man gör en tredjelandsöverföring.
Med tredjelandsöverföringar så syftar man till överföringar som görs till länder utanför EU/EES. Om överföringar av personuppgifter görs till ett tredjeland utan laglig grund riskerar man att åka på höga sanktionsavgifter.
Tidigare var det möjligt att vid tredjelandsöverföringar till USA förlita sig på skyddsåtgärden som kallades för Privacy Shield. Privacy Shield var en överenskommelse om skydd för personuppgifter mellan EU och USA som träffades år 2016. De företag som anmält sig till U.S. Department of Commerce’s International Trade Administration var därefter tvungna att följa de uppsatta regler som Privacy Shield innebar.
Detta är idag inte längre en skyddsåtgärd att luta sig mot vid tredjelandsöverföringar efter EU-domstolen ogiltigförklarade Privacy Shield i den dom som föll under sommaren år 2020, den så kallade Shrems II-domen.
Detta har skapar problem för många som har varit beroende av att kunna föra över sina personuppgifter till bolag i USA.
Det finns dock vissa juridiska och tekniska skyddsåtgärder man kan vidta idag för att kunna genomföra dessa överföringar. Det är dock viktigt att förstå att man måste göra bedömningen från fall till fall för att säkerställa att man handlat på ett korrekt sätt.
Skyddsåtgärder
För att kunna föra över personuppgifter till länder som inte omfattas av GDPR, det vill säga länder utanför EU/EES behöver vissa skyddsåtgärder vara uppfyllda. Dessa skyddsåtgärder är idag:
Beslut från EU-kommissionen om adekvat skyddsnivå
Lämpliga skyddsåtgärder som bindande företagsbestämmelser (Binding Corporate Rules)
Standardavtalsklausuler (Standard Contractual Clauses)
Särskilda situationer och enstaka fall. Detta alternativ gäller exempelvis om överföringen är en engångsföreteelse, om den är nödvändig för ett specifikt ändamål och om personuppgifterna som överförs är begränsade.
EDPB, Europeiska dataskyddsstyrelsen, antog i november 2020 rekommendationer om åtgärder som komplement till överföringsverktyg för att säkerställa att skyddet av personuppgifter levs upp till den nivån som fastställs i GDPR.
Det är fortfarande osäkert om det är tillräckligt att förlita sig på dessa rekommendationer för att säkerställa alla krav som ställs utifrån lagstiftning är uppnådda, men det är samtidigt den bästa rådgivningen som finns tillgänglig i dagsläget. Ta del av värdet och effektiviteten av ISO 27001 för att förbättra er informationssäkerhet.
Om ni är osäkra på om de Tredjelandsöverföringar ni gör genomförs på ett korrekt sätt, kan vi på Midagon hjälpa er att tackla informationssäkerheten och dataskyddet i frågan både ur ett tekniskt och ett juridiskt perspektiv. läs mer om tredjelandsöverföringar här.
Kontakta oss här så berättar vi mer.
Fler blogginlägg
”Det riktiga jobbet börjar nu - när ert ERP är live”
”Det är inte rätt tid att andas ut, det är nu det riktiga jobbet börjar för verksamheten”, säger Jesper Lange, ...
Läs bloggen
Fem steg – Så förstärker du din cybersäkerhet
Omvärldsläget har ökat behovet att förstärka cybersäkerhetsarbetet, inom både offentlig och privat sektor. Idag är de flesta organisationer beroende av ...
Läs bloggen
Optimera er affär med nytt affärssystem
Att ligga steget före och att effektivisera verksamheten och dess processer är alltid viktigt. För att göra det krävs ett ...
Läs bloggen