Bedömningar

Konsekvensbedömning av dataöverföringar (DTIA)

Om ett företag avser att överföra personuppgifter till ett tredjeland som inte har adekvat skyddsnivå, måste företaget först göra en konsekvensbedömning av dataöverföringar, även kallad för “DTIA”.

När måste företag göra en konsekvensbedömning av dataöverföringar (DTIA)?

En konsekvensbedömning av dataöverföringar (DTIA) utgör en organisatorisk säkerhetsåtgärd som företag ska göra innan de överför personuppgifter till ett tredjeland, såvida landet inte har adekvat skyddsnivå. Dessutom kan det bli aktuellt även för indirekta dataöverföringar, vilket många inte tänker på. Till exempel om ett företag använder en molntjänst för att behandla personuppgifter, men molntjänstleveranören har sin verksamhet och drift utanför EU/EES-länderna. Därmed kan många vardagliga tjänster som företag använder omfattas, såsom tjänsteleverantörer i tredjeland som tillhandahåller e-posttjänster, verktyg för webbanalys eller CRM-system.

Observera att det ofta är nödvändigt att behöva upprätta en konsekvensbedömning av dataöverföringar, även fast företaget använder EU-kommissionens framtagna standardavtalsklausuler, även kallat för “SCC”.

Vanligt att seriösa leverantörer och offentliga upphandlingar kräver en konsekvensbedömning av dataöverföringar

Det är vanligt för företag att behöva genomföra och dokumentera en konsekvensbedömning av dataöverföringar, då det ofta utgör ett krav för att kunna vinna en offentlig upphandling. Dessutom är det inte ovanligt för seriösa leverantörer och större företag att kräva det från sina samarbetspartners och underleverantörer. Att genomföra konsekvensbedömning av dataöverföringar kan också öka förtroendet hos kunder och medarbetare.

Definitionen av “tredjeland” och “adekvat skyddsnivå”

What is the definition of anonymised data?

Adekvat skyddsnivå

Företag får överföra personuppgifter till ett tredjeland utan att behöva vidta några extra skyddsåtgärder, om det tredjelandet ifråga har en adekvat skyddsnivå. Notera att det enbart är EU-kommissionen som kan besluta om detta, enligt artikel 45 i GDPR. Dessutom behöver det inte nödvändigtvis vara ett land som beslutet om adekvat skyddsnivå lämnas för, utan kan också avse endast ett visst territorium i ett land. Inför bedömningen tittar EU-kommissionen bland annat på om det finns oberoende tillsynsmyndigheter för frågor gällande dataskydd i det tredjelandet. Beslutet grundar sig också på de rättsliga möjligheterna för de registrerade, om det tredjelandet respekterar mänskliga rättigheter m.m. En lista av respektive tredjeland med adekvat skyddsnivå finns publicerad på EU-kommissionens webbplats.

Syftet med att göra en konsekvensbedömning av dataöverföringar

Syftet med att upprätta konsekvensbedömningen är att göra en utvärdering av huruvida mottagarlandet har tillräckligt bra skydd för personuppgifter i enlighet med EU:s krav. Till exempel vilka rättsliga möjligheter de registrerade har att utöva sina rättigheter, lagar kring övervakning i samhället, rättssäkerheten i landet m.m.

Vad bör en konsekvensbedömning av dataöverföringar innehålla?

Kartläggning

Först och främst måste man börja med att kartlägga och identifiera vilka typer av personuppgifter som kommer att överföras. Bland annat omfattningen, syftet, genom vilka system och mottagarlandet. Tänk på att det är viktigt att göra en ordentlig kartläggning av den planerade dataöverföringen och involverade aktörer.

Mottagarlandet

En konsekvensbedömning av dataöverföringar handlar i grunden om att analysera mottagarlandet. Till exempel huruvida lagarna tillåter myndigheterna i mottagarlandet att få åtkomst till personuppgifterna på ett sätt som är oproportionerligt, vilka rättigheter de registrerade har enligt mottagarlandets dataskyddslagstiftning, om skyddsnivån uppfyller europeiska krav m.m.

Bedömning

För att minimera riskerna vid överföring av personuppgifter från EU/EES-området till ett tredjeland, behöver företaget vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Vilka exakta åtgärder beror på från fall till fall. Till exempel kan det vara lämpligt att logga behandlingarna striktare än vanligt. Observera att överföringen inte är tillåten, om säkerhetsåtgärderna inte är tillräckliga.

Kvarvarande risk

Den sista delen av konsekvensbedömningen av dataöverföringarna handlar om att analysera vilken risk som kvarstår, efter alla säkerhetsåtgärder som företaget vidtagit. Därefter kan företaget fatta ett beslut om huruvida de kan utföra dataöverföringen eller inte.

Vilka konsekvenser kan företag få om de inte gör en konsekvensbedömning av dataöverföringar?

Det beror på från fall till fall. Däremot kan det leda till en sanktionsavgift, eftersom det utgör ett brott mot GDPR. Beloppet beror också på situationens detaljer och företagets storlek. Maxbeloppet för allvarliga överträdelser av GDPR är 20 miljoner euro eller 4 % av den totala globala årsomsättningen (det högsta av alternativen).

Dataskyddsombud ska rådfrågas vid genomförande av konsekvensbedömning

När ett företag gör en konsekvensbedömning, ska företaget alltid rådfråga sitt dataskyddsombud om företaget har utsett ett. Detta framgår av artikel 35 i GDPR. Dataskyddsombudet har en viktig roll inom företaget, och ska bland annat vara involverade vid konsekvensbedömningar. Baserat på Dataskyddsombudets uppgifter enligt artikel 39 i GDPR samt tillsyns- och efterlevnadspraxis efter Schrems II-domen, ska företaget rådfråga sitt dataskyddsombud även när det gäller specifikt konsekvensbedömning av dataöverföring.

Mer info

Riskbedömning

Företag ska göra en riskbedömning innan de påbörjar en ny behandling av personuppgifter. Detsamma gäller när företaget introducerar ny teknik och nya system vid befintlig behandling. Riskbedömningen handlar om att analysera vilka risker och konsekvenser behandlingen kan leda till för de registrerade. Dessutom ska riskbedömningen analysera vilka åtgärder företaget kan vidta för att minimera riskerna till en acceptabel nivå.