Europeiska dataskyddstyrelsen (EDPB) har antagit nya riktlinjer om när en överföring av personuppgifter till tredjeland anses ske enligt Dataskyddsförordningen samt hur detta påverkas av förordningens territoriella tillämpningsområde. Riktlinjerna klargör vissa frågor där bl.a. Integritetsskyddsmyndigheten tidigare lämnat otydliga besked, såsom vad som gäller för anställda på tjänsteresa, men lämnar samtidigt flera frågor obesvarade.
Europeiska dataskyddstyrelsen (EDPB) har antagit nya riktlinjer om vad som utgör en överföring av personuppgifter till tredjeland enligt Dataskyddsförordningen. Riktlinjerna förtydligar samspelet mellan artikel 3 (förordningens territoriella tillämpningsområde) och bestämmelserna avseende överföringar till tredjeland, dvs. land utanför EU/EES. Riktlinjerna är även avsedda att hjälpa personuppgiftsansvariga och personuppgiftsbiträden i EU att identifiera om en databehandling utgör en tredjelandsöverföring.
Tre kriterier
EDPB anger tre kriterier som samtliga ska vara uppfyllda för att en databehandling ska anses utgöra tredjelandsöverföring:
- den som exporterar uppgifterna samt den aktuella behandlingen omfattas av Dataskyddsförordningen;
- den som exporterar uppgifterna överför eller tillhandahåller personuppgifterna till den som importerar uppgifterna; och
- den som importerar uppgifterna befinner sig i ett tredjeland eller är en internationell organisation.
Ytterligare vägledning för specifika situationer
Riktlinjerna ger ytterligare vägledning för alla tre kriterier med kompletterande exempel på specifika situationer. Exempelvis anser EDPB inte att det är fråga om en tredjelandsöverföring när personuppgifter lämnas direkt av den registrerade på eget initiativ till en mottagare i tredjeland. Ett annat exempel avser situationen där en anställd åker på tjänsteresa till ett land utanför EU med sin bärbara dator och får tillgång till och arbetar med personuppgifter som finns i arbetsgivarens databas. Den situationen anser inte EDPB utgöra en överföring till tredjeland, eftersom den anställde inte är en egen personuppgiftsansvarig eller personuppgiftsbiträde, utan endast utgör en del av sin arbetsgivare i EU.
Om importören befinner sig i ett tredjeland
EDPB menar även att en databehandling kommer att betraktas som en överföring även om en importör i ett tredjeland omfattas av Dataskyddsförordningen enligt artikel 3. Det avgörande är i stället att importören befinner sig i ett tredjeland. EDPB menar att i sådana fall ska de skyddsåtgärder som krävs vid tredjelandsöverföringar anpassas till den specifika situationen med hänsyn till vilka regler importören av personuppgifterna redan omfattas av. Skyddsåtgärderna ska snarare fylla luckor som kan finnas i lokala lagstiftningen, på grund av kolliderande nationella lagar och risken för obehörig åtkomst för myndigheterna i tredje landet.
De många exemplen i vägledningen till trots finns det ingen tydlig övergripande princip för de fall som inte direkt tas upp i vägledningen. Det rör exempelvis frågor som överföringar till filialer i tredjeland och vilken betydelse artikel 32 har i förhållande till ”risken för tredjelandsöverföring” där nya vägledande uttalanden vore önskvärda.
Riktlinjerna är ute på publik konsultation till och med den 31 januari 2022, vilket innebär att vem som helst kan lämna ett remissvar.
Vill du veta mer om de nya riktlinjerna eller gav artikeln upphov till andra frågor? Du är varmt välkommen att kontakta någon av nedanstående kontaktpersoner inom GDPR & Dataskydd eller din vanliga kontakt på Lindahl.
