» 3.1.11 Överföring av personuppgifter till annan part

Överföring av personuppgifter till annan part

När en registrerad, det vill säga någon av era kunder eller anställda, anförtror sina personuppgifter åt ert företag innebär det ett förtroende att ni kommer att behandla uppgifterna på ett bra sätt. Det förtroendet behöver ni förvalta. Eftersom det inte nödvändigtvis sträcker sig till andra aktörer som ni samarbetar med behöver ni därför försäkra er om att skyddet inte blir sämre för uppgifter som ni överför till någon annan.

Personuppgiftsbiträden

Personuppgiftsbiträde är den som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig. Om den personuppgiftsansvarige till exempel använder sig av någon extern tjänst för behandlingen blir den som erbjuder tjänsten personuppgiftsbiträde. Då måste ett särskilt personuppgiftsbiträdesavtal upprättas, som garanterar att leverantören kommer att behandla uppgifterna med minst samma skyddsstandard som den personuppgiftsansvarige.

Överföring till tredje land

Inom EU- och EES-länderna ska GDPR garantera lika skydd av personuppgifter och integritet. Därför kan personuppgifter överföras fritt över landsgränserna. Utanför EU och EES finns det inga motsvarande regler, och därför får överföringar till sådana länder bara ske på vissa villkor. Sådana överföringar kallas för tredjelandsöverföringar. De är tillåtna om det finns ett beslut från EU-kommissionen om att ett visst land säkerställer så kallad adekvat skyddsnivå, om den personuppgiftsansvarige har vidtagit lämpliga skyddsåtgärder, eller om det finns ett särskilt undantag enligt GDPR.

Ladda hem: Reglerna för överföring av personuppgifter till USA

Ingen har väl missat sommares turbulens kring Schrems II och det nya privacy framework. Här nedan har vi tagit fram en enkel lathund som du som dataskyddsombud eller privacy manager kan använda för att förklara vad som nu gäller för ledning och styrelse. Fyll i dina uppgifter nedan så skickar vi lathunden till dig!

Personuppgiftsbiträden

I relationen med leverantörer och samarbetspartners har ni ett intresse av att kontrollera att de lever upp till era och era kunders förväntningar. När det gäller personuppgifter har ni också ett ansvar enligt GDPR att se till att de registrerade inte får ett sämre skydd när ni överför uppgifterna till någon annan.

I grund och botten handlar det om att förvalta det förtroende det innebär att få behandla någons personuppgifter. Genom att göra det på ett bra sätt kan ni utmärka er som en seriös aktör och stärka ert varumärke.

Ansvarig eller biträde?

Vem eller vilka som är personuppgiftsansvariga respektive personuppgiftsbiträden avgörs av vem som bestämmer över behandlingarna. Den part som bestämmer över vilka uppgifter som ska samlas in, hur de ska samlas in och för vilka ändamål är personuppgiftsansvarig. Om flera parter tillsammans bestämmer över det är de gemensamt personuppgiftsansvariga. Om någon part däremot bara behandlar personuppgifter på instruktion av någon annan fungerar den som personuppgiftsbiträde. Beroende på vilken roll en part har i samarbetet finns det olika skyldigheter som den måste leva upp till enligt GDPR.

Personuppgiftsbiträdesavtal

När ett personuppgiftsbiträde anlitas ska ett personuppgiftsbiträdesavtal upprättas.

I avtalet måste det stå vilka uppgifter som ska behandlas, hur länge, på vilket sätt och för vilket ändamål. De ska också finnas särskilda instruktioner till biträdet, och villkor om sekretess, säkerhetsåtgärder, om underleverantörer får anlitas, mm. Det är den personuppgiftsansvariges skyldighet att se till att biträdet får korrekta instruktioner för hur behandlingen ska gå till. När personuppgiftsbiträdet inte längre ska behandla uppgifterna ska de lämnas tillbaka eller raderas.

Personuppgiftsbiträdets behandlingsregister

Personuppgiftsbiträden ska föra register över vilka behandlingar de utför för andras räkning. I registret ska det finnas kontaktuppgifter till både personuppgiftsbiträdet och de personuppgiftsansvariga som behandlingarna utförs för, inklusive eventuella dataskyddsombud. Det ska också stå vilken typ av behandling som utförs, om det sker någon tredjelandsöverföring och vilka säkerhetsåtgärder som biträdet har vidtagit.

Personuppgiftsbiträdets ansvar

Personuppgiftsbiträdet ska följa den personuppgiftsansvariges instruktioner, GDPR och andra kompletterande lagar. Biträdet får inte börja behandla personuppgifterna för några andra ändamål än dem som den personuppgiftsansvarige bestämt. Personuppgiftsbiträdet ska hjälpa den personuppgiftsansvarige att uppfylla sina skyldigheter mot de registrerade och mot Integritetsskyddsmyndigheten.

Tredjelandsöverföringar​

När en registrerad lämnar ut sina personuppgifter till ert företag görs det i vetskap om att det finns regler i GDPR som skyddar den personliga integriteten. Om ni anlitar någon leverantör som är etablerad utanför EU/EES, eller om ni på något annat sätt överför personuppgifter till ett land där GDPR inte gäller, behöver ni vara säkra på att skyddet för individen inte blir sämre.

Genom att upprätthålla en hög skyddsstandard för personuppgifter vid tredjelandsöverföringar bidrar ni till att skapa stabilitet och förtroende på marknaden. Men att förstå hur det ska gå till är inte helt lätt. Här går vi igenom grunderna till reglerna om tredjelandsöverföring i GDPR.

Likvärdigt skydd för de registrerade

I många fall går det att överföra uppgifter till tredjeland på ett säkert sätt. Det grundläggande kravet är att det måste gå att uppnå en väsentligen likvärdig skyddsnivå för de personuppgifter som överförs. Det finns tre grunder för laglig tredjelandsöverföring i GDPR:

  1. Ett beslut om adekvat skyddsnivå från EU-kommissionen enligt artikel 45
  2. Överföringsverktyg med lämpliga skyddsåtgärder enligt artikel 46
  3. Undantag enligt artikel 49

Adekvat skyddsnivå

Om EU-kommissionen bedömer att ett land lever upp till en lika hög skyddsstandard som enligt GDPR kan de fatta ett beslut om adekvat skyddsnivå. Om det finns ett sådant beslut kan personuppgifter överföras till det aktuella landet som om det vore ett EU-land, utan ytterligare skyddsåtgärder. Däremot är den personuppgiftsansvarige skyldig att hålla sig informerad ifall beslutet av något skäl skulle upphävas. En uppdaterad lista över länder som har ett beslut om adekvat skyddsnivå finns på Integritetsskyddsmyndighetens hemsida. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/overforing-till-tredje-land/adekvat-skyddsniva/

Konsekvensbedömning av tredjelandsöverföring, TIA

De så kallade överföringsverktygen är av olika karaktär, men handlar alla om att det ska finnas en tydlig och bindande standard för hur personuppgifterna ska behandlas. Utöver att ett verktyg formellt sett måste vara på plats, ska den personuppgiftsansvarige också göra en utvärdering av vilka konsekvenser tredjelandsöverföringen får för personuppgiftsskyddet. Bedömningen kallas ofta för TIA, efter det engelska begreppet Transfer Impact Assessment. Målet är att avgöra om skyddsnivån för personuppgifterna är väsentligen likvärdig skyddsnivå som enligt GDPR.

Kompletterande åtgärder

Ibland visar en TIA på omständigheter som tyder på att skyddet från överföringsverktyget inte kommer att vara tillräckligt. Det kan vara fallet t.ex. om företag har en skyldighet att lämna ut personuppgifter till myndigheterna enligt det aktuella landets lag. I sådana fall måste kompletterande åtgärder vidtas för att överföringen ska vara laglig. Kompletterande åtgärder kan vara organisatoriska, avtalsbaserade eller tekniska, men de ska alltid vara särskilt inriktade på de brister som identifierats i konsekvensbedömningen. Om de kompletterande åtgärderna inte är tillräckliga får överföring inte ske.

USA – Privacy Shield och Schrems II

Fram till juli 2020 kunde tredjelandsöverföring till USA ske med stöd av det så kallade Privacy Shield-avtalet. I det uppmärksammade Schrems II-målet fastslog dock EU-domstolen att personuppgifter som överförs till USA inte kan få ett väsentligen likvärdigt skydd som enligt GDPR. Det beror på viss lagstiftning i USA som gör att amerikanska myndigheter kan begära att få ut personuppgifter om EU-medborgare från amerikanska företag. Det gäller i vissa fall även dotterbolag som är etablerade i EU, och trots att uppgifterna lagras på europeiska servrar. Den 10 juli 2023 beslutade EU-kommissionen att USA uppfyllde kraven på sk. adekvat säkerhet. Det innebär att företag och organisationer numera får överföra personuppgifter till t.ex. amerikanska molntjänster som Microsoft 365, Amazon web services eller Google Analytics utan att vidta några ytterligare åtgärder än vad som alltid gäller vid överföring av personuppgifter till annan part. En förutsättning är däremot att den amerikanska motparten anslutit sig att följa det ramverk som tagits fram för att möjliggöra EU-kommissionens beslut om sk. adekvat skyddsnivå. Detta beslut har kommit som en lättnad för många företag som suttit hårt fast i amerikanska systemlösningar och molntjänster. Ett varningens finger bör dock resas eftersom den organisation som står bakom de tidigare rättsprocesserna, NYOB, direkt efter EU-kommissionens meddelande, uttalade att de avser att domstolspröva om USAs skyddsnivå för europeiska innevånare verkligen motsvarar det skydd dessa får inom EU. Det finns mao en stor risk att vi får se en ytterligare runda i domstol – en Schrems III.

Rekommenderade artiklar

Scroll to Top