GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Informationssäkerhet

Särskilda situationer och enstaka överföringar

Vid vissa typer av särskilda situationer och enstaka överföringar av personuppgifter till tredje land kan det vara tillåtet att genomföra överföringen.

Särskilda situationer och enstaka överföringar till tredjeland

Detta gäller även om det tredjelandet inte har adekvat skyddsnivå och utan att företaget vidtar några extra skyddsåtgärder. Undantagen för den typen av särskilda situationer och enstaka överföringar av personuppgifter till tredje land framgår i artikel 49 i GDPR. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Är överföringen nödvändig att genomföra?

Företaget bör försöka vidta lämpliga skyddsåtgärder i första hand. Alternativt överföra personuppgifter till ett land som har adekvat skyddsnivå enligt beslut från EU-kommissionen. Dessutom bör företaget analysera om överföringen av personuppgifterna är nödvändig. Undantagen i artikel 49 i GDPR bör enbart bli tillämpade av företag när företaget inte kan vidta några lämpliga skyddsåtgärder.  

Det är tillåtet att överföra personuppgifter till ett tredjeland vid bland annat dessa särskilda situationer:

Periodic penalty payments

Uttryckligt samtycke

Om företaget får ett uttryckligt samtycke från den registrerade. I dessa fall måste den registrerade ha fått information om vilka risker som överföringen innebär, i och med att det tredjelandet inte har ett beslut om adekvat skyddsnivå och företaget inte har vidtagit lämpliga skyddsåtgärder.

Order the company to comply with GDPR within a certain period of time

Fullgöra avtal med den registrerade

När överföringen av personuppgifter är nödvändig för att exempelvis fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige. Det kan även ske om det krävs för att fullgöra åtgärder enligt ett sådant avtal förutsatt att den registrerade begär detta.

It may be possible for data subjects to claim damages

Fullgöra avtal med annan part

När överföringen av personuppgifter är nödvändig för att ingå eller fullgöra ett avtal med en annan part än den registrerade. Dock måste detta ske i den registrerades intresse.

Allmänt intresse

Om ett allmänt intresse är erkänt i nationell rätt och det är nödvändigt att genomföra överföringen av personuppgifterna för att uppnå det. Det kan också framgå i EU-rätten.

Rättsliga anspråk

Om företaget behöver överföra personuppgifterna för att kunna försvara ett rättsligt anspråk. Detsamma gäller vid att fastställa eller göra gällande rättsliga anspråk.

Skydda grundläggande intressen

Om den registrerade inte kan ge sitt samtycke, av rättsliga eller fysiska skäl och överföringen är nödvändig för att skydda det grundläggande intresset hos den registrerade personen. Dessutom kan överföringen ske om det är nödvändigt för att skydda någon annans grundläggande intressen än den registrerades.

Utöver att det är tillåtet att överföra personuppgifter i de ovanstående särskilda situationerna, är det möjligt om överföringen uppfyller samtliga nedanstående kriterier:

Ej regelbundet

Det ska inte vara en överföring som sker regelbundet.

Begränsat antal registrerade

Antalet registrerade som överföringen gäller är begränsade.

Berättigat intresse

Företaget måste ha ett berättigat intresse till överföringen. Vid sådana fall ska företaget utföra och dokumentera en intresseavvägning för att styrka detta.

Lämpliga skyddsåtgärder

Företaget måste vidta lämpliga skyddsåtgärder för att skydda personuppgifterna utifrån de omständigheter som bedömningen visat.

Här kan du läsa riktlinjer från den Europeiska dataskyddsstyrelsen gällande särskilda situationer och enstaka överföringar av personuppgifter till tredje land. 

Intresseavvägning vid överföringar av personuppgifter till tredjeland

Företag får utföra en behandling av personuppgifter om de har ett berättigat intresse, vilket utgör en (1) av de sex (6) rättsliga grunderna i GDPR. En intresseavvägning innebär att man väger intresset hos företaget mot den registrerades intressen, rättigheter och friheter. Dessutom måste företaget analysera alla omständigheterna kring överföringen samt vidta lämpliga skyddsåtgärder för personuppgifterna. Det är också viktigt att tänka på att företag kan anse att de har ett berättigat intresse, men inte har det i enlighet med lagen.

Observera att företag måste informera den nationella dataskyddsmyndigheten om de anser att de har ett berättigat intresse för en tredjelandsöverföring. Dessutom måste de informera de registrerade om detta. Det ska bland annat framgå vad det berättigade intresset är som företaget vill uppnå med behandlingen.

Lär dig mer om informationssäkerhet

Standardavtalsklausuler

En annan extra skyddsåtgärd som företag kan vidta vid överföringar till tredjeland är att använda de standardavtalsklausuler som EU-kommissionen har antagit. Däremot kan företaget behöva vidta fler skyddsåtgärder i vissa fall, även fast det brukar vara tillräckligt att använda standardavtalsklausuler. Det är viktigt att tänka på att använda rätt klausuler efter situationen. Till exempel om det är en överföring till ett personuppgiftsbiträde i tredjeland från en personuppgiftsansvarig i EU, eller om det är en överföring mellan två personuppgiftsbiträden. 

Vill du lära dig mer?

Klicka här
Rulla till toppen