Överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet
Överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet förutsätter iakttagande av de övriga kraven i dataskyddslagstiftningen och en grund för överföringen. På den här sidan redogör vi för förutsättningarna för överföring i situationer där dataskyddsförordningen tillämpas på behandlingen av personuppgifter.
EU:s allmänna dataskyddsförordning tillämpas i Europeiska ekonomiska samarbetsområdets, som utöver EU-länderna omfattar Island, Liechtenstein och Norge. Ett centralt mål för den gemensamma dataskyddslagstiftningen är att garantera det fria flödet av personuppgifter inom EES. Därför får personuppgifter överföras till ett land som hör till Europeiska ekonomiska samarbetsområdet på samma grunder som inom Finland.
När personuppgifter överförs till länder utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet motsvarar nivån av skyddet för personuppgifter inte alltid nivån enligt EU:s allmänna dataskyddsförordning.. Det medför risker för de registrerade, dvs. för dem vars personuppgifter överförs. Därför fastställs i dataskyddsförordningen förutsättningar för de grunder på vilka personuppgifter kan överföras till tredjeländer eller internationella organisationer utanför EES.
Mer information om behandling av personuppgifter som omfattas av dataskyddsförordningen
Förutsättningar för överföring av personuppgifter till länder utanför EES
1. Behandlingen av personuppgifter ska vara tillåten i den aktuella situationen.Henkilötietojen käsittelyn on oltava sallittua kyseisessä tilanteessa.
2. Överföringen av personuppgifter ska dessutom ha en grund för överföring enligt kapitel V i dataskyddsförordningen. Effektiviteten hos grunden för överföring och behovet av kompletterande skyddsåtgärder bedöms från fall till fall.
Båda förutsättningarna ska uppfyllas för att personuppgifter ska kunna överföras.
Grunderna för överföring av personuppgifter
Grunderna för överföring av personuppgifter fastställs i kapitel V i den allmänna dataskyddsförordningen. Grunderna för överföring är alternativa; det räcker således med att förutsättningarna för en av grunderna uppfylls. Om inte förutsättningarna i någon grund uppfylls kan personuppgifter inte överföras utanför EES. Varje överföringsgrund är förknippad med mer ingående kriterier. Överföringsgrunderna tillämpas både på den personuppgiftsansvariga och på personuppgiftsbiträdet.
- Kommissionens beslut om adekvat skyddsnivå (art. 45)
- Standardiserade dataskyddsbestämmelser godkända av kommissionen (art. 46:2c och art. 46:2(d))
- Bindande företagsbestämmelser (art. 47)
- En godkänd uppförandekod (art. 40, art. 46:2(e)) eller en godkänd certifieringsmekanism (art. 42, art. 46:2(f)) tillsammans med rättsligt bindande och verkställbara åtaganden
- Ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ (art. 46:2(a))
- Avtalsklausuler med dataskyddsmyndighetens tillstånd (art. 46:3a)*
- Bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ (art. 46:3(b))*
- Undantag i särskilda situationer (art. 49)
*Dataskyddsmyndighetens separata tillstånd för tillämpning av en överföringsgrund förutsätts om det handlar om
- avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen, eller
- bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.
En prioritetsgrund gäller för grunderna för överföring av personuppgifter. Europeiska kommissionens beslut om adekvat dataskydd (s.k. likvärdighetsbeslut) är den primära överföringsgrunden. Om kommissionen har beslutat att tredjelandet, territoriet, sektorn eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå, får personuppgifter överföras direkt på grundval av likvärdighetsbeslutet.
Om personuppgifter inte kan överföras med utgångspunkt i kommissionens likvärdighetsbeslut ska det utredas om personuppgifter kan överföras på grundval av andra lämpliga skyddsåtgärder. Lämpliga skyddsåtgärder är till exempel standardiserade dataskyddsbestämmelser och bindande företagsbestämmelser.
Om personuppgifter inte kan överföras med lämpliga skyddsåtgärder heller, kan man ytterligare utreda om personuppgifter kan överföras på grundval av ett undantag i särskilda situationer.
Vid överföringar ska dataskyddsnivån motsvara EU:s krav
Den personuppgiftsansvariga ska säkerställa att den skyddsnivå som dataskyddsförordningen garanterar inte äventyras vid överföring av uppgifter till länder utanför Europeiska ekonomiska samarbetsområdet. Den personuppgiftsansvariga ska också försäkra sig om att mottagaren av uppgifterna har rät att behandla de uppgifter som överförs.
När internationella överföringar av personuppgifter och den grund för överföring som tillämpas på dessa har identifierats, ska de personuppgiftsansvariga och personuppgiftsbiträden som överför uppgifter kontrollera i enskilda fall om tredjelandets lagstiftning tillförsäkrar en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom EES.
Om den överföringsgrund som använts inte räcker till att garantera att dataskyddsnivån motsvarar EU:s krav, kan den i vissa fall kompletteras med olika skyddsåtgärder som kompletterar överföringsmekanismer. Om det inte finns lämpliga kompletterande skyddsåtgärder för att garantera adekvat dataskydd kan dataöverföring inte genomföras.
Huruvida bestämmelserna kan tillämpas påverkas inte av volymen av data som ska överföras, hur länge överföringen skulle ta eller om uppgifterna överförs på en gång eller under en längre tidsperiod. Bestämmelserna tillämpas också vid överföringar av personuppgifter vidare till ett annat tredjeland eller till en annan internationell organisation.
Överföringar av personuppgifter som utförs av myndigheter som svarar för den inre säkerheten
Personuppgifter kan överföras till tredjeländer eller internationella organisationer även när behöriga myndigheter, som Försvarsmakten, Polisen, en domstol, Tullen, Gränsbevakningsväsendet och Brottspåföljdsmyndigheten utför uppgifter enligt 1 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) (Finlex). På dessa överföringar tillämpas bestämmelserna i kapitel 7, vilka avviker från artiklarna om överföring av personuppgifter i dataskyddsförordningen.
Vilken överföringsgrund lämpar sig för överföring av personuppgifter?
Dataskyddslagstiftningen ska iakttas vid behandling och överföring av personuppgifter. Om du överför personuppgifter inom Europeiska ekonomiska samarbetsområdet kan du göra överföringen på samma villkor som inom Finland. Du behöver alltså ingen grund för överföringen som av ses i kapitel V i dataskyddsförordningen.
Om du överför personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet, behövs en grund för överföringen som är förenlig med kapitel V i EU:s allmänna dataskyddsförordning. Kom ihåg prioritetsordningen för överföringsgrunderna när du utreder vilken grund som vore lämplig.
Kommissionens beslut om adekvat skyddsnivå är den primära grunden för överföring av personuppgifter när uppgifter ska överföras till ett tredjeland. Om kommissionen inte har gett något beslut om adekvat skyddsnivå är nästa steg att utreda om uppgifter kan överföras med tillämpning av lämpliga skyddsåtgärder (artikel 46 eller 47 i dataskyddsförordningen).
Bindande företagsbestämmelser enligt artikel 47 i dataskyddsförordningen kan vara en grund för överföring av personuppgifter utanför EU och EES när överföringen sker in om en koncern eller en företagsgrupp som driver en gemensam ekonomisk verksamhet. Den behöriga dataskyddsmyndigheten fastställer de bindande företagsbestämmelserna i enlighet med mekanismen för enhetlighet i artikel 63 i dataskyddsförordningen.
Dataskyddsförordningen har två nya överföringsgrunder för aktörer i den offentliga sektorn:
- ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ (art. 46:2a), och
- med dataskyddsmyndighetens tillstånd sådana bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade (art. 46:3b).
- Standardiserade dataskyddsbestämmelser som meddelats av kommissionen (art. 46:2c och art. 46:2d)
- En godkänd uppförandekod (art. 40) eller en godkänd certifieringsmekanism (art. 42) tillsammans med rättsligt bindande och verkställbara åtaganden
- Med dataskyddsmyndighetens tillstånd sådana avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen (art. 46:3a)
- Undantag i särskilda situationer (art. 49)
- En grund som i sista hand tillämpas endast i särskilda situationer
Ytterligare information om överföringsgrunder:
- Överföring på grundval av ett beslut om adekvat skyddsnivå
- Standardiserade dataskyddsbestämmelser godkända av kommissionen
- Skyddsåtgärder som kompletterar överföringsmekanismer
- Bindande företagsbestämmelser (BCR, Binding Corporate Rules)
- Undantag i särskilda situationer
- Brexit och överföring av personuppgifter till Storbritannien
Rekommendationer och avgörandepraxis om överföringar av personuppgifter:
- Europeiska dataskyddsstyrelsens rapport om koordinerade åtgärder för användningen av molntjänster i den offentliga sektorn (på dataskyddsstyrelsens webbplats på engelska)
- Meddelande 24.5.2023: Meta får en påföljdsavgift på 1,2 miljarder euro genom Europeiska dataskyddsstyrelsens beslut för överföring av personuppgifter till USA i strid med lagen
- Meddelande 19.1.2023: Europeiska dataskyddsstyrelsen publicerade rekommendationer för användningen av molntjänster i den offentliga sektorn (på finska)
- Meddelande 17.1.2023: Biträdande dataombudsmannen gav en anmärkning om att uppgifterna om materialsökningar på bibliotek förmedlades till det amerikanska företaget Google
- Meddelande 11.2.2022: De europeiska dataskyddsmyndigheterna har konstaterat att användningen av Google Analytics på webbplatser strider mot dataskyddslagstiftningen