Överföringar till tredjeland
Bindande företagsbestämmelser
Det är vanligt att internationella företagskoncerner, med företag i tredjeland, överför personuppgifter mellan företagen.
Standardavtalsklausuler som EU-kommissionen har beslutat om
Det kan vara tillåtet om de tar fram bindande företagsbestämmelser som reglerar behandlingen av personuppgifterna. Dessutom kan till exempel en grupp av företag upprätta bindande företagsbestämmelser om de har en ekonomisk verksamhet tillsammans.
Bindande företagsbestämmelser är ett exempel på en lämplig skyddsåtgärd enligt Artikel 46(2)(b) i GDPR. Regler om bindande företagsbestämmelser regleras i artikel 47 i GDPR och av skäl 110.
Syftet med bindande företagsbestämmelser är att reglera koncernens överföring av personuppgifter till företag inom den egna koncernen som finns i ett tredjeland.
Bindande företagsbestämmelser måste bli godkända
Observera att en dataskyddsmyndighet i EU måste godkänna de bindande företagsbestämmelserna för att de ska vara giltiga. Dessutom måste dataskyddsmyndigheten begära ett yttrande från den europeiska dataskyddsstyrelsen. Där ingår alla tillsynsmyndigheter avseende GDPR från EU samt EES-länderna. Det är viktigt att företaget vidtar lämpliga skyddsåtgärder för att skydda personuppgifterna, vilket är något som tas i beaktande vid godkännandet av bindande företagsbestämmelser.
Här kan du läsa mer om kriterierna för att få bindande företagsbestämmelser godkända.
Fördelar med bindande företagsbestämmelser
- Det är både ett bevis för, och ger en bild av att, företaget engagerar sig i att följa dataskyddsreglerna.
- Företaget behandlar personuppgifter med enlighet med de principer och regler som framgår i GDPR.
- Alla företag inom företagskoncernen slipper ingå separata avtal gällande överföring av personuppgifter mellan varandra.
- Koncernen kan ha en enhetlig dataskyddspraxis inom alla dess företag.
Steg för att få bindande företagsbestämmelser godkända
1. Ansvarig dataskyddsmyndighet
Företaget behöver föreslå och motivera vilket lands tillsynsmyndighet som ska vara den huvudansvariga dataskyddsmyndigheten för ärendet. Förslaget bör bli motiverat utifrån vissa kriterier. Observera att det inte är dessa kriterier som utgör ett formkrav, men de tas ändå i beaktande. Det här är några faktorer att ta i beaktande vid bedömningen:
Moderbolag
Vilket land inom EU eller EES-området som moderbolaget är etablerat i.
Delegerat ansvar
Vilket land inom EU eller EES-området som företaget inom koncernen som har fått ansvaret för dataskydd är etablerat i.
Hantera ansökningsförfarande
Vilket land inom EU eller EES-området som företaget inom koncernen på bästa sätt kan hantera ansökningsförfarandet och tillämpa de bindande företagsbestämmelserna inom koncernen.
Beslutsfattande för GDPR
Vilket land inom EU eller EES-området som majoriteten av beslutsfattandet gällande GDPR kommer från.
Överföringsland
Vilket land inom EU eller EES-området som personuppgifter kommer överföras från till det tredjelandet.
2. Skicka ansökan
Fyll i ansökningsblanketten och skicka den till ansvariga dataskyddsmyndigheten. Dessutom kan det vara bra att lämna in en lista på företagen i koncernen som de bindande företagsbestämmelserna är tänkt att avse, för att underlätta för dataskyddsmyndigheten i sin handläggning av ärendet.
Observera att företag måste skicka in två separata ansökningsblanketter om de bindande företagsbestämmelserna gäller både för personuppgiftsansvariga och personuppgiftsbiträden.
3. Bedömning av ansvarig dataskyddsmyndighet
Bara för att ett företag gör bedömningen att en dataskyddsmyndighet i ett visst land ska vara huvudansvarig, betyder det inte att dataskyddsmyndigheten eller den europeiska dataskyddsstyrelsen tycker det.
Efter ansökan, kommer därför dataskyddsmyndigheten att göra en egen bedömning av huruvida de är mest lämpliga. Om inte, kan de skicka ansökan till en annan dataskyddsmyndighet som de anser vara mer lämplig.
4. Lämna in förslag till bindande företagsbestämmelser
Företaget ska skicka in sitt förslag av de bindande företagsbestämmelserna som de har upprättat. Dessutom kan dataskyddsmyndigheten begära fler uppgifter, om de anser att inlämnat underlag inte är fullständigt.
5. Granskning av ansökan
Ansökan blir därefter granskad av den utsedda ansvariga dataskyddsmyndigheten. Observera att dataskyddsmyndigheten inte utför granskningen själv. Minst en annan dataskyddsmyndighet är med och utför granskningen. Dessutom får alla andra dataskyddsmyndigheter i EU/EES-området möjlighet att ge sitt yttrande, innan ansökan blir skickad till den europeiska dataskyddsstyrelsen.
6. Yttrande från den europeiska dataskyddsstyrelsen
Den europeiska dataskyddsstyrelsen ger sitt yttrande efter att ha fått tillgång till all dokumentation. Däremot är det inte den europeiska dataskyddsstyrelsen som fattar beslutet, utan de ger endast sitt yttrande i ärendet.
7. Beslut från ansvarig dataskyddsmyndighet
Efter att den europeiska dataskyddsstyrelsen gett sitt yttrande, får företaget en möjlighet att göra eventuella ändringar i sitt utkast. Därefter kan den ansvariga dataskyddsmyndigheten fatta ett slutligt beslut. Observera dock att tiden för handläggningen kan bli påverkad av antalet kompletteringar, handlingar och liknande som är aktuella.
Mer om överföringar till tredjeland
Adekvat skyddsnivå
Det är tillåtet för företag, oavsett om de är personuppgiftsansvariga eller personuppgiftsbiträden, att överföra personuppgifter till ett tredjeland om landet har adekvat skyddsnivå. Det är enbart EU-kommissionen som kan fatta ett sådant beslut. Med andra ord kan inte ett företag själva göra bedömningen att ett tredjeland har adekvat skyddsnivå och därför överföra personuppgifter dit. Observera att beslutet om adekvat skyddsnivå inte nödvändigtvis behöver omfatta ett helt land. Det kan också vara till exempel ett territorium inom det tredjelandet, såsom en delstat eller en specifik sektor, som anses ha en adekvat skyddsnivå.