Europeiska dataskyddsstyrelsen (EDPB) har publicerat nya riktlinjer som klargör hur företag inom EU/EES ska förhålla sig till beslut från myndigheter i tredjeländer som kräver överföring av personuppgifter. Enligt artikel 48 i GDPR krävs att sådana överföringar endast sker om de grundar sig på en internationell överenskommelse, exempelvis ett avtal om ömsesidig rättslig hjälp. För att en överföring ska vara tillåten krävs både en rättslig grund enligt artikel 6 och att någon av grunderna i kapitel V iakttas. Artikel 48 utgör inte i sig en överföringsgrund. EDPB betonar vikten av att varje överföring prövas individuellt och att nationella tillsynsmyndigheter bör konsulteras vid osäkerhet.
Sammanfattning
Europeiska dataskyddsstyrelsen (EDPB) meddelade nyligen nya riktlinjer kring syftet med, och omfattningen av, artikel 48 i dataskyddsförordningen (GDPR). Riktlinjerna klargör hur privata bolag inom EU och EES ska förhålla sig till domar och beslut från myndigheter i länder utanför EU eller EES (så kallade tredjeland) som kräver överföring av personuppgifter.
Sådana domar och beslut ska inte automatiskt erkännas och verkställas. För att en överföring av personuppgifter ska vara tillåten i dessa fall krävs:
Eventuella flöden av personuppgifter behöver alltså, även när flödena sker till en mottagare utanför EU eller EES, förhålla sig till GDPR:s krav.
En internationell överenskommelse, t.ex. ett avtal mellan länder om ömsesidig rättslig hjälp, kan uppfylla båda dessa krav. Att basera överföringen på ett sådant avtal är därför generellt sett den mest oproblematiska lösningen. Om sådant eller liknande avtal inte finns kan dock även andra grunder göra aktuella överföringar tillåtna.
I sina nya riktlinjer tydliggör EDPB hur artikel 48 GDPR samverkar tillsammans med övriga bestämmelser i kapitel V GDPR. Riktlinjerna förtydligar också att artikeln i sig inte utgör grund för överföring.
Rättsliga utgångspunkter
Av artikel 48 i GDPR följer att domar och beslut från myndigheter i tredjeland som kräver att privata bolag överför personuppgifter endast behöver efterföljas om de baseras på en internationell överenskommelse. Exempel på sådana överenskommelser är avtal om ömsesidig hjälp som gäller mellan begärande tredjeland å ena sidan och EU/EES eller en EU/EES-stat å andra sidan.
För att avgöra om en överföring är tillåten ska en prövning i två steg göras:
En begäran från en utländsk myndighet utgör inte i sig rättslig grund för behandling. En rättslig förpliktelse som åvilar den personuppgiftsansvarige (dvs. det bolag som behandlar personuppgifterna för egen del) utgör däremot sådan rättslig grund, enligt GDPR. Om personuppgiftsbehandlingen grundas på ett internationellt avtal om t.ex. ömsesidig hjälp, innebär detta att en rättslig förpliktelse har uppkommit som en följd av avtalet.
Det finns även andra möjliga rättsliga grunder än denna typ av avtal. Alla de rättsliga grunder som följer av artikel 6 i GDPR kan potentiellt sätt utgöra grund för en överföring av personuppgifter till tredjeland, under rätt förutsättningar. I sina riktlinjer påtalar EDPB dock att det är svårt att göra generella uttalanden om dessa grunder, och det blir upp till personuppgiftsansvarige att undersöka deras tillämplighet från fall till fall.
Enligt artikel 45 i GDPR är överföring tillåten till tredjeländer som EU-kommissionen bedömt har en så kallad adekvat skyddsnivå. Detta innebär att dessa länder säkerställer en skyddsnivå likvärdig GDPR:s. Även utan sådan skyddsnivå kan dock överföring vara tillåten enligt artikel 46 i GDPR. Det krävs då att överföringen omfattas av lämpliga skyddsåtgärder. En godtagbar lägstanivå för skydd anses föreligga vid användandet av en av de skyddsåtgärder som listas i artikeln, t.ex. bindande företagsbestämmelser (som ska uppfylla vissa krav) eller de standardavtalsklausuler som EU-kommissionen har beslutat om.
Rättsligt bindande och verkställbara instrument mellan offentliga myndigheter och organ är ytterligare en lämplig skyddsåtgärd som listas i artikel 46. Sådana dokument sluts som utgångspunkt mellan stater och möjliggör vanligtvis samarbete mellan myndigheter i olika länder, men kan även möjliggöra direkt samarbete mellan privata aktörer och offentliga myndigheter. Ett avtal mellan länder om ömsesidig rättslig hjälp utgör typiskt sett sådant rättsligt bindande och verkställbart instrument.
Om man efter denna prövning kan konstatera att överföringen baseras både på en rättslig grund och uppfyller tillämpliga bestämmelser i kapitel V GDPR, så är överföringen tillåten.
Kommentarer
EDPB:s riktlinjer ger här viktig vägledning för personuppgiftsansvariga och personuppgiftsbiträden (dvs. sådana som behandlar personuppgifter för annans räkning). Vad som är särskilt viktigt att ta med sig är följande: