Överföring till tredjeland
Standardavtalsklausuler
EU-kommissionen antog år 2021 nya standardavtalsklausuler som företag kan använda som en extra skyddsåtgärd när de överför personuppgifter till ett tredjeland.
Standardavtalsklausuler som EU-kommissionen har beslutat om
Om ett företag använder standardavtalsklausuler, behöver de inte få ett särskilt tillstånd från den nationella dataskyddsmyndigheten för överföringen. Observera dock att EU-kommissionen kan uppdatera standardavtalsklausulerna vilket är viktigt att tänka på, så att man inte använder gamla ogiltiga versioner.
Avtal med standardavtalsklausuler
Om ett företag ingår ett avtal med en aktör i ett tredjeland, och inkluderar standardavtalsklausuler som EU-kommissionen har antagit, brukar det vara tillåtet med överföringar till aktören i det tredjelandet. Däremot kan företaget behöva vidta fler skyddsåtgärder i vissa fall. Det är också viktigt att tänka på att det inte är tillåtet att ändra klausulerna, men det går att tillägga andra klausuler som är affärsrelaterade. Observera dock att eventuella tillägg inte får strida mot någon av standardavtalsklausulerna.
Innehåll i standardavtalsklausuler som EU-kommissionen har beslutat om
- Skyldigheter för företag (personuppgiftsansvarig/personuppgiftsbiträde) som vill överföra personuppgifter till tredjeland.
- Skyldigheter för företag (personuppgiftsansvarig/personuppgiftsbiträde) som mottar personuppgifterna.
- Regleringar kring de rättigheter som registrerade har.
- Reglering om hur en eventuell tvist på grund av avtalet ska lösas.
Standaravtalsklausulerna innehåller bestämmelser som gäller för olika typer av situationer. Strukturen är uppdelad i olika “moduler”. Standardavtalsklausulerna består av bestämmelser kopplade till överföringar av personuppgifter inom följande fyra moduler:
En personuppgiftsansvarig inom EU till en annan personuppgiftsansvarig i tredjeland.
En personuppgiftsansvarig inom EU till ett personuppgiftsbiträde i tredjeland.
Ett personuppgiftsbiträde inom EU till ett annat personuppgiftsbiträde i tredjeland.
Ett personuppgiftsbiträde inom EU till en personuppgiftsansvarig i tredjeland.
När ett företag ska använda standardavtalsklausulerna, är det viktigt att använda rätt moduler och korrekta bestämmelser som passar den specifika situationen. Dessutom kan det vara fler än två parter som ingår avtalet mellan varandra.
Här kan du läsa de senaste versionerna av standaravtalsklausulerna som EU-kommissionen antog år 2021.
Ingå personuppgiftsbiträdesavtal
När en aktör behandlar personuppgifter åt en personuppgiftsansvarig, sker behandlingen av aktören i egenskap av ett personuppgiftsbiträde. Vid sådana fall ska parterna ingå ett personuppgiftsbiträdesavtal med varandra. Dessutom måste det avtalet vara skriftligt upprättat för att vara giltigt enligt artikel 28 i GDPR.
Däremot behöver parterna inte ingå ett separat personuppgiftsbiträdesavtal, om det rör en överföring till tredjeland där företagen vidtagit extra skyddsåtgärder som inkluderar standardavtalsklausulerna. Detta beror på att de senaste versionerna av standardavtalsklausulerna har inkluderat bestämmelser från artikel 28 i GDPR direkt i de relevanta modulerna som finns i standardavtalsklausulerna.
EU-kommissionen har skapat ett dokument med frågor och svar kring standardavtalsklausulerna som innehåller bra information.
Mer info om tredjelandsöverföringar
Uppförandekoder eller certifieringsmekanismer
Ett företag som är personuppgiftsansvarig eller personuppgiftsbiträde kan ansluta sig till en godkänd uppförandekod vid överföring av personuppgifter. Dataskyddsmyndigheter eller den europeiska dataskyddsstyrelsen upprättar inte uppförandekoder. Istället är det vanligt att exempelvis organisationer som representerar en specifik bransch upprättar en uppförandekod, vilket gynnar såväl små som större företag.