Med tredjelandsöverföringar så syftar man till överföringar som görs till länder utanför EU/EES. Om överföringar av personuppgifter görs till ett tredjeland utan laglig grund riskerar man att åka på höga sanktionsavgifter.
Dataskyddsförordningen (“GDPR”) förbjuder idag att man skickar personuppgifter till tredjeländer utan laglig grund. Detta kallas för att man gör en tredjelandsöverföring.
Med tredjelandsöverföringar så syftar man till överföringar som görs till länder utanför EU/EES. Om överföringar av personuppgifter görs till ett tredjeland utan laglig grund riskerar man att åka på höga sanktionsavgifter.
Tidigare var det möjligt att vid tredjelandsöverföringar till USA förlita sig på skyddsåtgärden som kallades för Privacy Shield. Privacy Shield var en överenskommelse om skydd för personuppgifter mellan EU och USA som träffades år 2016. De företag som anmält sig till U.S. Department of Commerce’s International Trade Administration var därefter tvungna att följa de uppsatta regler som Privacy Shield innebar.
Detta är idag inte längre en skyddsåtgärd att luta sig mot vid tredjelandsöverföringar efter EU-domstolen ogiltigförklarade Privacy Shield i den dom som föll under sommaren år 2020, den så kallade Shrems II-domen.
Detta har skapar problem för många som har varit beroende av att kunna föra över sina personuppgifter till bolag i USA.
Det finns dock vissa juridiska och tekniska skyddsåtgärder man kan vidta idag för att kunna genomföra dessa överföringar. Det är dock viktigt att förstå att man måste göra bedömningen från fall till fall för att säkerställa att man handlat på ett korrekt sätt.
För att kunna föra över personuppgifter till länder som inte omfattas av GDPR, det vill säga länder utanför EU/EES behöver vissa skyddsåtgärder vara uppfyllda. Dessa skyddsåtgärder är idag:
Beslut från EU-kommissionen om adekvat skyddsnivå
Lämpliga skyddsåtgärder som bindande företagsbestämmelser (Binding Corporate Rules)
Standardavtalsklausuler (Standard Contractual Clauses)
Särskilda situationer och enstaka fall. Detta alternativ gäller exempelvis om överföringen är en engångsföreteelse, om den är nödvändig för ett specifikt ändamål och om personuppgifterna som överförs är begränsade.
EDPB, Europeiska dataskyddsstyrelsen, antog i november 2020 rekommendationer om åtgärder som komplement till överföringsverktyg för att säkerställa att skyddet av personuppgifter levs upp till den nivån som fastställs i GDPR.
Det är fortfarande osäkert om det är tillräckligt att förlita sig på dessa rekommendationer för att säkerställa alla krav som ställs utifrån lagstiftning är uppnådda, men det är samtidigt den bästa rådgivningen som finns tillgänglig i dagsläget. Ta del av värdet och effektiviteten av ISO 27001 för att förbättra er informationssäkerhet.
Om ni är osäkra på om de Tredjelandsöverföringar ni gör genomförs på ett korrekt sätt, kan vi på Midagon hjälpa er att tackla informationssäkerheten och dataskyddet i frågan både ur ett tekniskt och ett juridiskt perspektiv. läs mer om tredjelandsöverföringar här.
Kontakta oss här så berättar vi mer.
En kort bakgrund: EU:s nya AML-paket I juli 2021 presenterade EU-kommissionen ett nytt lagstiftningspaket för att ytterligare skärpa åtgärder mot penningtvätt ...
Läs bloggenI en värld där snabbhet och enkelhet i betalningar är avgörande för kundupplevelsen, har realtidsbetalningar blivit en självklarhet. För konsumenter ...
Läs bloggenAgila metoder har revolutionerat sättet som organisationer hanterar projekt och utvecklar produkter. Ursprungligen framträdde de inom mjukvaruutveckling, men har sedan ...
Läs bloggen