Informationssäkerhet
Adekvat skyddsnivå enligt EU-kommissionen
För att få överföra personuppgifter från EU till ett tredjeland utan något särskilt tillstånd eller behöva vidta extra skyddsåtgärder, behöver det tredjelandet ha adekvat skyddsnivå enligt EU-kommissionen.
Adekvat skyddsnivå
Enligt GDPR är ett tredjeland ett land utanför EU/EES-området. Det är enbart EU-kommissionen som kan fatta ett sådant beslut. Med andra ord kan inte ett enskilt företag anse att det tredjelandet har en adekvat skyddsnivå, utan enbart EU-kommissionen. Observera att det inte nödvändigtvis behöver vara ett helt tredjeland som har adekvat skyddsnivå, utan beslutet om detta kan gälla till exempel ett visst territorium inom tredjelandets gränser.
Grund till EU-kommissionens beslut om adekvat skyddsnivå
Det finns flera faktorer som EU-kommissionen analyserar när de beslutar om huruvida ett tredjeland har adekvat skyddsnivå eller inte. Till exempel:
- Lagarna i det tredje landet.
- Det tredje landets internationella åtaganden.
- Möjligheterna för registrerade att få en rättslig prövning.
- Hur tredjelandet ställer sig till de mänskliga rättigheterna.
- Huruvida tredjelandet har en oberoende tillsynsmyndighet för dataskyddsregler.
EU-kommissionen uppdaterar kontinuerligt sin lista med vilka länder som de har ansett har adekvat skyddsnivå.
Sju principerna i GDPR
- Laglighet, korrekthet och öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Riktighet
- Lagringsminimering
- Integritet och konfidentialitet
- Ansvarsskyldighet
Regelbundna granskningar
Bara för att EU-kommissionen har fattat ett beslut att ett land har adekvat skyddsnivå, innebär det inte att det alltid kommer vara så. EU-kommissionen måste granska beslutet regelbundet. Granskningen sker minst en gång varje fjärde år och kan omprövas.
Överföring av personuppgifter från EU till USA
I Schrems II-domen 2020 ogiltigförklarade EU-domstolen Privacy Shield med tillhörande adekvansbeslut. Det resulterade i att USA inte hade tillräckligt högt skydd för att anses ha adekvat skyddsnivå. En av anledningarna var den åtkomst till personuppgifter som myndigheter i USA hade. Därefter började EU och USA förhandlingar om EU-U.S Data Privacy Framework (EU-U.S DPF).
Det är numera tillåtet att överföra personuppgifter från EU till USA, om mottagaren omfattas av EU-U.S Data Privacy Framework som EU-kommissionen fattade beslut om under år 2023. Däremot kan det vara tillåtet även i de fall mottagaren inte är ansluten till DPF, men vid sådana fall behöver företaget vidta lämpliga extra skyddsåtgärder. Till exempel bindande företagsbestämmelser. En annan skyddsåtgärd är användning av standardavtalsklausuler.
Överföringar till Storbritannien efter Brexit
Storbritannien är ett tredjeland enligt GDPR sedan 2021 då de lämnade EU. Senare under 2021 fattade EU-kommissionen beslutet att Storbritannien har tillräckligt hög skyddsnivå, alltså en adekvat skyddsnivå. Beslutet innebär att personuppgifter från EU får bli överförda dit utan några extra skyddsåtgärder eller särskilt tillstånd, som om Storbritannien var ett annat EU-land.
Mer info om överföringar till tredjeland
Överföra personuppgifter till tredjeland i särskilda situationer och vid enstaka överföringar
Det kan vara tillåtet att överföra personuppgifter till ett tredjeland i vissa situationer, även fast det tredjelandet inte har adekvat skyddsnivå eller företaget vidtar extra skyddsåtgärder såsom att ingå EU-kommissionens standardavtalsklausuler. Till exempel om företaget får ett uttryckligt samtycke från den registrerade. Observera att företaget måste informera den registrerade om de risker som en sådan överföring till ett tredjeland innebär om det tredjelandet saknar adekvat skyddsnivå eller lämpliga skyddsåtgärder inte vidtas från företaget.