Enligt GDPR är det nödvändigt att säkerställa att den nivå av skydd som fysiska personer garanteras genom GDPR inte undergrävs när personuppgifter överförs till tredjeländer, det vill säga länder utanför EU/EES.
Om det inte finns ett beslut om adekvat skyddsnivå för landet får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder.
En lämplig skyddsåtgärd är exempelvis standardiserade dataskyddsbestämmelser som antas av EU-kommissionen, det framgår av artikel 46.2 c i GDPR. Sådana bestämmelser - ofta kallat standardavtalsklausuler - beslutade kommissionen om senast i juni 2021.
Det finns sedan dess standardavtalsklausuler som är anpassade för överföring i fyra olika situationer:
Om den personuppgiftsansvarige organisationen använder dessa standardavtalsklausuler behövs inget tillstånd från en tillsynsmyndighet. Parterna kan införa dessa standardavtalsklausuler i ett mer övergripande avtal eller teckna ett separat överföringsavtal med dessa klausuler som mall.
Det går också bra att lägga till andra bestämmelser eller ytterligare skyddsåtgärder. Men det måste göras under förutsättning att tilläggen inte står i strid med standardavtalsklausulerna eller påverkar de registrerades grundläggande rättigheter eller friheter.
Även om EU-kommissionens standardavtalsklausuler ska förenkla arbetet så upplever många att de är svåra att förstå och använda i praktiken. Därför har vi på Visma Draftit tagit fram Wordmallar som hjälper er att få bättre grepp om de olika standardavtalen. Mallarna finns tillgängliga på både svenska och engelska.
Video: Se hur Privacy Expert fungerar
Observera att man alltid behöver göra en bedömning i det enskilda fallet för att avgöra om en tredjelandsöverföring är möjlig, och om standardavtalsklausulerna är tillräckliga. Klausulerna är ingen universallösning och innebär inte att man kan bortse ifrån exempelvis Schrems II-domen.
Istället måste parterna ta hänsyn till de särskilda omständigheterna kring överföringen och relevanta lagar och förfaranden i det mottagande tredjelandet.
Det kan vara aktuellt att införa extra, kompletterande skyddsåtgärder för att komplettera de som ingår i standardavtalsklausulerna. Personuppgiftsansvariga och personuppgiftsbiträden uppmuntras att tillhandahålla ytterligare skyddsåtgärder genom avtalsenliga åtaganden som kompletterar standardavtalsklausulerna.
Reglerna kring överföring till tredjeland kräver åtgärder hos många verksamheter. Vill du veta mer?
Vi har samlat de viktigaste frågorna med svar från våra experter i ett faktablad.