GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Informationssäkerhet

Extra skyddsåtgärder

I vissa fall behöver företag vidta extra skyddsåtgärder vid överföring av personuppgifter till tredjeland. Ett tredjeland är ett land utanför EU/EES-området. Den europeiska kommissionen (EU-kommissionen) kan besluta att ett tredjeland har en adekvat skyddsnivå. 

Extra skyddsåtgärder vid överföring av personuppgifter

Om ett företag vill överföra personuppgifter till ett tredjeland men EU-kommissionen inte har beslutat att landet har adekvat skyddsnivå, eller om överföringen uppfyller kraven för särskilda situationer och enstaka överföringar, behöver företaget vidta extra skyddsåtgärder vid överföring av personuppgifter till tredjeland. 

Länder utanför EU/EES-området garanterar inte motsvarande skyldigheter och rättigheter som GDPR gör inom EU när företag behandlar personuppgifter. Därför är reglerna striktare vid överföring av personuppgifter från EU till ett tredjeland. 

Observera att det måste finnas möjlighet för registrerade att få ärendet rättsligt prövat.

Här kan du läsa Europeiska dataskyddsstyrelsens (EDPB) rekommendationer om när ytterligare skyddsåtgärder kan behövas. De beskriver även mer kring vad sådana åtgärder kan vara.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två andra EU-förordningar

  • AI-förordningen
  • Data-förordningen

Schrems II-domen och överföringar av personuppgifter till tredjeland

EU-domstolen konstaterade i Schrems II-domen att privacy-shieldavtalet inte gav tillräckligt skydd för personuppgifter vid överföring av personuppgifter från till USA. Avtalet ingicks mellan EU och USA och genom ogiltigförklarandet från EU-domstolen, var det inte längre möjligt att överföra personuppgifter till USA med stöd av Privacy Shield. Därefter började EU och USA med att upprätta ett nytt avtal där de täckte bristerna som EU-domstolen påpekat. 

2023 fattade EU-kommissionen ett nytt beslut gällande överföringar till USA och upprättade ett nytt avtal, EU-U.S. Data Privacy Framework (DPF). Om den mottagande parten är ansluten till det nya DPF-regelverket, är det tillåtet med överföringar dit utan att företaget i EU/EES-området behöver vidta några extra skyddsåtgärder.

Exempel på extra skyddsåtgärder vid överföring av personuppgifter till tredjeland

Nedan kan du läsa några exempel på extra skyddsåtgärder vid överföring av personuppgifter till tredjeland som företag kan vidta.

Bindande företagsbestämmelser (BCR)

För att få använda bindande företagsbestämmelser vid överföringar av personuppgifter till tredjeland, måste de bli godkända. Det är en dataskyddsmyndighet inom EU/EES-området som måste godkänna de bindande företagsbestämmelserna. 

Till exempel kan det vara bra med bindande företagsbestämmelser om ett multinternationellt företag överför personuppgifter till tredjeländer inom sin egen koncern. En förutsättning för de bindande företagsbestämmelserna är att koncernen eller gruppen av företag har ett lämpligt utbildningsprogram för de anställda som omfattar BCR-bestämmelserna.

Standardavtalsklausuler (SCC)

Standardavtalsklausuler är ett annat alternativ än bindande företagsbestämmelser som företag kan använda som extra skyddsåtgärd vid överföringar till tredjeland. Det är EU-kommissionen som beslutar om standardavtalsklausuler som företag kan använda. 

Tänk på att använda rätt klausuler vid användning av SCC, eftersom det består av fyra olika moduler med tillhörande bestämmelser. Till exempel finns en specifik modul som är tillämplig när den som överför personuppgifter är personuppgiftsansvarig inom EU och mottagaren är ett personuppgiftsbiträde i tredjeland. 

Uppförandekod

Ett företag, oavsett om företaget är personuppgiftsansvarig eller personuppgiftsbiträde, kan ansluta sig till en godkänd uppförandekod. Detta är en extra skyddsåtgärd vid överföring av personuppgifter till tredjeland som branscher själva skapar. Ofta brukar det vara organisationer som representerar en specifik bransch som skapar dessa.  

Europeiska dataskyddsstyrelsens (EDPB) har publicerat riktlinjer om uppförandekoder som grund för överföring av personuppgifter till tredjeland. De beskriver bland annat vad en uppförandekod behöver uppnå för att bli godkänd som en extra skyddsåtgärd och hur företag kan ansöka för att få en sådan godkänd. 

Transfers to a third country

The European Commission may decide on an adequate level of protection

If a third country has an adequate level of protection, it is permissible to transfer personal data there without taking additional safeguards, such as the use of standard contractual clauses. However, it is not a company that makes such a decision. Only the European Commission decides whether a third country ensures an adequate level of protection. Please note that they can also revoke the decision if there is a change. The European Commission checks, among other things, whether the third country respects human rights, has independent supervisory authorities and whether its courts meet certain requirements.

Want to learn more?

Read more
Rulla till toppen