Skyddsåtgärder som kompletterar överföringsmekanismer
Skyddsnivån för personuppgifter ska vara väsentligt likvärdig med den som garanteras inom EU när uppgifter överförs till tredjeländer och internationella organisationer utanför Europeiska ekonomiska samarbetsområdet. Innan personuppgifter kan överföras utanför EES, ska den personuppgiftsansvarige eller personuppgiftsbiträdet säkerställa att en adekvat skyddsnivå kan garanteras för personuppgifterna. Om den aktuella grunden för överföring inte garanterar adekvat skyddsnivå som sådan, kan den i vissa situationer kompletteras genom tekniska, organisatoriska eller avtalsmässiga ytterligare skyddsåtgärder.
De personuppgiftsansvariga och personuppgiftsbiträden som överför uppgifter måste kontrollera i varje enskilt fall huruvida tredjelandet genom sin lagstiftning kan tillförsäkra en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom Europeiska ekonomiska samarbetsområdet. Vid bedömningen ska man beakta omständigheterna från fall till fall, lagstiftningen i det aktuella tredjelandet och den grund för överföring som används. Dataexportörerna är dock ansvariga för att göra en konkret bedömning. Bedömningen ska också dokumenteras noggrant.
Om de skyddsåtgärder som ingår i den aktuella grunden för överföring inte är adekvata som sådana, kan de i vissa fall kompletteras genom tekniska, organisatoriska eller avtalsmässiga skyddsåtgärder. Ibland kan det vara så att kompletterande skyddsåtgärder inte kan vidtas. Då kan överföringen av uppgifter till tredjelandet inte påbörjas eller överföringen måste avbrytas.
Europeiska dataskyddsstyrelsen har publicerat rekommendationer som hjälper personuppgiftsansvariga och personuppgiftsbiträden att bedöma behovet av adekvata kompletterande skyddsåtgärder och välja de skyddsåtgärder som är lämpliga i situationen.
- Rekommendationer 1/2020 om åtgärder som kompletterar överföringsmekanismer för att tillförsäkra en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom EU (på engelska, pdf)
- Rekommendationer 02/2020 om europeiska nödvändiga garantier för övervakningsåtgärder (på finska, pdf)
Schrems II-domen preciserade förutsättningar för dataöverföringar
EU-domstolens så kallade Schrems II-dom (C-311/18) har betydande konsekvenser för överföringar av uppgifter utanför EES-länder. Domen från juli 2020 preciserade vilka krav för internationella överföringar av personuppgifter som måste uppfyllas för att personuppgifter kan lagligt överföras från EES till ett tredjeland eller en internationell organisation.
I Schrems II-domen tog domstolen ställning till exempelvis användningen av kommissionens standardavtalsklausuler som grund för överföringen. Domen betonar att personuppgiftsansvariga och personuppgiftsbiträden måste bedöma behovet av kompletterande skyddsåtgärder för standardavtalsklausuler och andra grunder för överföring för att garantera att skyddsnivån är väsentligt likvärdig med den som garanteras inom EU.
Europeiska dataskyddsstyrelsen har som mål att den allmänna dataskyddsförordningen och domstolens avgörande tillämpas enhetligt i hela EES-området. I sina svar på vanliga frågor om Schrems II-domen berättar dataskyddsstyrelsen vad personuppgiftsansvariga och personuppgiftsbiträden ska beakta vid överföring av uppgifter.
Europeiska dataskyddsstyrelsens svar på vanliga frågor om Schrems II-domen (på finska, pdf)