Första halvan av 2021 – summering av viktiga nyheter på GDPR-området

EDPB:s Rekommendationer 1/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls

EDPB har tagit fram rekommendationer om vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till tredjeland när skyddsnivån i mottagarlandet inte kan anses tillförsäkra en likvärdig skyddsnivå. Rekommendationerna innefattar också kriterier som tydliggör under vilka möjliga omständigheter som en överföring inte är möjlig. Bedömningen av vilka åtgärder som ska användas och i vilken utsträckning det är tillräckligt för att uppnå en godtagbar skyddsnivå ska göras i varje enskilt fall och av exportören.

Till hjälp för bedömningen rekommenderar EDPB en process på sex olika steg. sammanfattningsvis går precessen ut på att kartlägga vilka överföringar som behöver ske, identifiera vilket stöd man har för överföringen enligt kapitel V i dataskyddsförordningen, utvärdera situationen i mottagarlandet för att se om ett tillräckligt skydd för uppgifterna kan garanteras där – i annat fall, identifiera och vidta de ytterligare åtgärder som krävs för att ett tillräckligt skydd ska uppnås.

Bedömningen är beroende både av omständigheterna för den specifika överföringen och av rättsläget i det land som personuppgifterna ska överföras till. Viktigt att notera är att det spelar inte bara roll hur lagstiftningen ser ut i teorin utan även den praktiska tillämpningen ska beaktas.

EU-komissionen publicerar nya standardavtalsklausuler(SCC:s)

EU-kommissionen beslutade den 28 juni om nya standardavtalsklausuler (Eng. Standard Contractual Clauses) för överföringar av personuppgifter till tredje land. Utöver att tydligare återspegla de krav på tredjelandsöverföring som uppställs i GDPR, så tar standardavtalsklausulerna också hänsyn till följderna av EU-domstolens dom Schrems II-målet

De nya klausulerna ger en större omfattning av aktörernas skyldighet att säkerställa att landet där importören befinner sig uppfyller GDPR:s krav och som följer av de nya klausulerna. Aktörerna måste vid varje enskild bedömning ta hänsyn till bland annat tredjelandets lagar, särskilt sådana lagar som kräver att företag lämnar ut personuppgifter till nationella myndigheter eller som på annat sätt ger tredjelandets myndigheter tillgång till personuppgifter som överförts. Aktörerna måste också bedöma om några ytterligare kontraktuella, tekniska eller organisatoriska skyddsåtgärder behöver vidtas för att kunna säkerställa att personuppgifterna skyddas på ett adekvat sätt.

De nya klausulerna kan börja tillämpas från och med den 27 juni 2021. Från och med den 27 september 2021 får de gamla klausulerna inte längre användas i nya avtal och för avtal som ingåtts innan dess ska de gamla klausulerna ha ersatts av de nya klausulerna senast den 27 december 2022. De tidigare versionerna kommer dock att kunna användas under en övergångsperiod om 15 månader från upphävandet (dvs. totalt 18 månader). Detta gäller dock endast för parter som ingick standardavtalsklausulerna innan upphävandet. Parter som överför personuppgifter till tredje land med stöd av de tidigare standardavtalsklausulerna behöver därmed byta ut klausulerna till den nya versionen senast den 27 december 2022.

EU-kommissionen tillåter dataöverföring från EU till Storbritannien

Den 28 juni 2021 fattade EU-kommissionen  beslut om adekvat skyddsnivå för överföring av personuppgifter till Storbritannien enligt GDPR. Besluten innebär att Storbritannien har en tillräckligt hög skyddsnivå och att personuppgifter får föras över dit utan något särskilt tillstånd.

Kommissionen framförde att Storbritannien genom lag och rättstillämpning säkerställer att de principer, rättigheter och skyldigheter som framgår av GDPR får genomslag. Det främsta skälet till detta är att Storbritanniens lagstiftning (UK GDPR) i det närmaste är identisk med GDPR. Dessutom har enskilda tillgång till rättslig prövning om de tror att deras personuppgifter inte behandlas i enlighet med lagen. Skyddet för personuppgifter är således tillräckligt starkt i Storbritannien. Kommissionen framförde även att den fortsatta utvecklingen av skyddet är avgörande, således gäller beslutet endast i fyra år. För att beslutet ska förnyas måste Storbritannien fortsätta vidhålla en adekvat skyddsnivå för behandlingen av personuppgifter.

Besluten innebär att samarbeten mellan företag i EU och Storbritannien fortsättningsvis kommer att underlättas och undanröjer för de kommande åren den osäkerhet som funnits rörande dataflöden mellan EU och Storbritannien efter Brexit.