Tre frågor om tredjelandsöverföring
Tredjelandsöverföring är ett av många områden inom dataskydd som det är viktigt att hålla sig uppdaterad om. I vårt kompetensstöd Privacy Expert får vi in frågor från våra användare som våra experter besvarar. I denna artikel lyfter vi fram tre av de många inkomna frågorna på ämnet som besvarats i Privacy Expert.
Kan vi använda oss av standardavtalsklausuler för tredjelandsöverföring till USA?
Experten svarar:
Att använda sig av EU-kommissionens standardavtalsklausuler för att överföra personuppgifter till USA menar många är väldigt svårt i nuläget. EU-domstolen slog fast i det så kallade Schrems II-målet (16 juli 2020) att standardavtalsklausulerna inte kan användas hur som helst, utan som personuppgiftsansvarig behöver man noggrant undersöka varje enskilt fall. Det gäller att göra en bedömning av mottagarlandets skyddsnivå, och överväga om man behöver vidta eventuella ytterligare skyddsåtgärder för att uppnå ett likvärdigt skydd för personuppgifter som inom EU.
När det gäller just USA har EU-domstolen redan konstaterat att amerikansk lagstiftning inte säkerställer tillräcklig skyddsnivå, tyvärr. Även om man kompletterar med ytterligare skyddsåtgärder är det tveksamt om det finns någon åtgärd som är tillräcklig i förhållande till amerikansk övervakningslagstiftning. Europeiska dataskyddstyrelsen (EDPB) har publicerat rekommendationer på detta tema: Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter.
Läs också: Tredjelandsöverföring med standardklausuler
Räknas överföringar till England som tredjeland?
Experten svarar:
I och med Storbritanniens utträde ur EU, blir Storbritannien ett tredjeland. I sammanhanget är det dock glädjande att Storbritannien har fått ett beslut om adekvat skyddsnivå av EU-kommissionen, vilket innebär att det är tillåtet att överföra personuppgifter till Storbritannien.
Behöver vi göra en DPIA vid tredjelandsöverföring?
Experten svarar:
Endast det faktum att man överför personuppgifter till och behandlar dem i ett tredjeland är inte en omständighet som kräver att en konsekvensbedömning (DPIA) ska utföras. Kravet på en DPIA aktualiseras generellt i vissa situationer, såsom när det handlar om nya tekniska lösningar som involverar personuppgifter eller när det är stora mängder eller känsliga kategorier av uppgifter som behandlas. I slutändan så handlar det om en bedömning av när behandlingen ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter”. Vid en sådan sammanlagd bedömning så kan självklart det faktum att uppgifterna lagras i ett tredjeland vara en faktor, men det innebär inte i sig att en DPIA måste utföras. Däremot kan det vara aktuellt att ni genomför en konsekvensbedömning avseende personuppgiftsöverföring, på engelska en Transfer Impact Assessment (TIA).