Överföring av uppgifter till tredjeländer: rekommendationer om skyddsåtgärder som kompletterar överföringsmekanismer och utkast till kommissionens nya standardavtalsklausuler

Europeiska dataskyddsstyrelsen har publicerat rekommendationer om åtgärder som kompletterar dataöverföringsmekanismer i enlighet med dataskyddsförordningen. De ytterligare åtgärderna säkerställer att skyddet för personuppgifter vid överföring till tredjeländer uppfyller EU:s krav. Dessutom har Europeiska kommissionen publicerat utkast till uppdaterade standardavtalsklausuler för överföring av uppgifter till tredjeländer. Respons på rekommendationerna och standardavtalsklausulerna kan ges på dataskyddsstyrelsens och kommissionens webbplatser.

Europeiska dataskyddsstyrelsens rekommendationer om ytterligare skyddsåtgärder tillämpas omedelbart

Europeiska dataskyddsstyrelsens rekommendationer publicerades som en uppföljning till EU-domstolens Schrems II-dom. Till följd av domen måste personuppgiftsansvariga kontrollera i varje enskilt fall huruvida tredjelandet genom sin lagstiftning kan tillförsäkra en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom Europeiska ekonomiska samarbetsområdet. Om de skyddsåtgärder som ingår i standardavtalsklausulerna eller andra överföringsmekanismer inte är tillräckliga, kan de kompletteras med ytterligare skyddsåtgärder.

Dataskyddsstyrelsens rekommendationer hjälper personuppgiftsansvariga och personuppgiftsbiträden att vidta lämpliga ytterligare skyddsåtgärder vid behov. Åtgärderna säkerställer tillräckligt skydd för personuppgifter och möjliggör överföringar till tredjeländer. Dataskyddsstyrelsen har som mål att den allmänna dataskyddsförordningen och domstolens avgörande tillämpas enhetligt i hela EES.

Rekommendationerna innefattar en färdplan för uppgiftsutförarnas utredningsarbete och en lista över exempel på ytterligare åtgärder. Uppgiftsutförarna är dock ansvariga för att utföra en konkret bedömning. Vid bedömningen bör man beakta helhetssituationen för överföringen, lagstiftningen i tredjelandet och överföringsmekanismen. Bedömningen ska vara noggrann och processen måste dokumenteras grundligt.

Det ska även beaktas att det kanske inte är möjligt att alltid vidta tillräckliga ytterligare skyddsåtgärder. Då kan överföringen av uppgifter till tredjelandet inte påbörjas eller överföringen måste avbrytas.

Ett offentligt samråd kommer att anordnas om ytterligare skyddsåtgärder. Skyddsåtgärderna kan kommenteras på Europeiska dataskyddsstyrelsens webbplats fram till den 30 november. Rekommendationerna ska dock tillämpas omedelbart.

Rekommendationerna och det offentliga samrådet på Europeiska dataskyddsstyrelsens webbplats: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

Rekommendationer även om europeiska väsentliga garantier för tillsynsverksamheten

Dessutom gav Europeiska dataskyddsstyrelsen rekommendationer om europeiska väsentliga garantier för tillsynsverksamheten (European Essential Guarantees). Dessa rekommendationer kompletterar dataskyddsstyrelsens rekommendationer om skyddsåtgärder efter Schrems II-domen. Rekommendationerna om väsentliga garantier hjälper vid bedömning huruvida det kan anses vara berättigat att ett tredjelands myndigheter får tillgång till uppgifter och gör ingrepp i rätten till integritets- och dataskydd i tillsynssyften.

Ordförande till Europeiska dataskyddsstyrelsen Andrea Jelinek har konstaterat att Schrems II-domen kommer att påverka alla överföringar till tredjeländer. Enligt Jelinek finns det inga snabba lösningar eller en lösning som passar alla eftersom situationerna för uppgiftsutförarna är så olika. Uppgiftsutförarna måste bedöma sin uppgiftsbehandlingsverksamhet och sina överföringar och vidta effektiva ytterligare skyddsåtgärder vid behov. Vid bedömning ska man även beakta rättsordningen i tredjelandet.

Rekommendationerna om europeiska väsentliga garantier på Europeiska dataskyddsstyrelsens webbplats: Recommendations 02/2020 on the European Essential Guarantees for surveillance measures

Utkast till kommissionens nya standardavtalsklausuler ute för kommentering

Europeiska kommissionen har publicerat utkast till nya standardavtalsklausuler för överföring till tredjeländer och för behandlingsavtalet mellan den personuppgiftsansvarige och personuppgiftsbiträdet.

Europeiska kommissionens standardavtalsklausuler (standard contractual clauses, SCC) är överföringsmekanismer som definierar skyldigheterna för uppgiftsutföraren och uppgiftsinföraren i syfte att skydda personuppgifter. Alla överföringsmekanismer definieras i kapitel V i den allmänna dataskyddsförordningen.

Kommissionen har publicerat utkast till de nya standardavtalsklausulerna på sin webbplats och utkasten kan kommenteras fram till den 10 december.

Utkasten till standardavtalsklausuler på Europeiska kommissionens webbplats:

• Standardavtalsklausuler för överföring till tredjeländer (artikel 46): Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries
• Standardavtalsklausuler för behandlingsavtal (artikel 28): Commission Implementing Decision on standard contractual clauses between controllers and processors located in the EU

Mer information:

Europeiska dataskyddsstyrelsens meddelande på dataskyddsstyrelsens webbplats: European Data Protection Board - 41st Plenary session: EDPB adopts recommendations on supplementary measures following Schrems II

Uppdaterats 24.11.2020 kl. 15:04: Meddelandet uppdaterades med förtydligande att Europeiska kommissionen publicerade standardavtalsklausuler för internationella överföringar samtidigt med standardavtalsklausuler för behandlingsavtal mellan personuppgiftsansvariga och personuppgiftsbiträden.