Överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet

Överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet förutsätter en grund för överföringen och iakttagande av de övriga kraven i dataskyddslagstiftningen. På den här sidan redogör vi för förutsättningarna för överföring i situationer där dataskyddsförordningen tillämpas på behandlingen av personuppgifter.

EU:s allmänna dataskyddsförordning tillämpas i Europeiska ekonomiska samarbetsområdets, som utöver EU-länderna omfattar Island, Liechtenstein och Norge. Ett centralt mål för den gemensamma dataskyddslagstiftningen är att garantera det fria flödet av personuppgifter inom EES. Därför får personuppgifter överföras till ett land som hör till Europeiska ekonomiska samarbetsområdet på samma grunder som inom Finland.

När personuppgifter överförs till länder utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet, försämras nivån på det skydd som säkerställs i dataskyddsförordningen. Det medför risker för de registrerade, dvs. för dem vars personuppgifter överförs. Därför fastställs i dataskyddsförordningen förutsättningar för de grunder på vilka personuppgifter kan överföras till tredjeländer eller internationella organisationer utanför EES

Förutsättningar för överföring av personuppgifter till länder utanför EES

1. Behandlingen av personuppgifter ska vara tillåten i Finland i den aktuella situationen.

2. Överföringen av personuppgifter ska uppfylla de förutsättningar som fastställts i kapitel V i dataskyddsförordningen.

Båda förutsättningarna ska uppfyllas för att personuppgifter ska kunna överföras.

Bestämmelserna i kapitel V i dataskyddsförordningen tillämpas också när personuppgifter överförs vidare från ett tredjeland eller en internationell organisation till ett annat tredjeland eller en annan internationell organisation. Bestämmelsernas tillämplighet påverkas inte till exempel av mängden uppgifter som ska överföras eller överföringens varaktighet. Bestämmelserna tillämpas både vid överföring av enskilda uppgifter och stora mängder personuppgifter. Tillämpningen av kapitel V i dataskyddsförordningen påverkas inte heller av huruvida uppgifterna överförs på en gång eller under en lång period.

Grunderna för överföring i kapitel V i dataskyddsförordningen är alternativa. Det räcker således med att förutsättningarna i den ena grunden uppfylls. Om inte förutsättningarna i någon grund uppfylls kan personuppgifter inte överföras utanför EES.

Utöver bestämmelserna i kapitel V ska man vid överföring av personuppgifter till tredjeländer se till att dataskyddsförordningen iakttas även till övriga delar. På överföring tillämpas bestämmelserna om behandling av personuppgifter, som principen om ändamålsbegränsning och ansvarsskyldighet (artikel 5 i dataskyddsförordningen), behandlingsgrunden (artikel 6, dessutom artikel 9 beträffande särskilda kategorier av personuppgifter) och skyldigheten att skydda uppgifterna (artikel 32).  Den personuppgiftsansvariga ska sörja för att den som tar emot uppgifterna har rätt att behandla dem. Dessutom ska den personuppgiftsansvariga säkerställa att nivån på det skydd av personuppgifter som fastställs i dataskyddsförordningen inte äventyras när uppgifterna överförs utanför Europeiska ekonomiska samarbetsområdet.

Överföringsgrunderna varierar beroende på situationen och hur olika bestämmelser ska prioriteras. Varje överföringsgrund är förknippad med mer ingående kriterier. Överföringsgrunderna tillämpas både på den personuppgiftsansvariga och på personuppgiftsbiträdet.

Personuppgifter kan överföras till tredjeländer eller internationella organisationer även när behöriga myndigheter, som Försvarsmakten, Polisen, en domstol, Tullen, Gränsbevakningsväsendet och Brottspåföljdsmyndigheten utför uppgifter enligt 1 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018). På dessa överföringar tillämpas bestämmelserna i kapitel 7, vilka avviker från artiklarna om överföring av personuppgifter i dataskyddsförordningen

Överföringsgrundernas prioritetsordning

En prioritetsgrund gäller för grunderna för överföring av personuppgifter. Den som avser överföra personuppgifter till ett tredjeland ska först utreda om personuppgifter kan överföras med utgångspunkt i kommissionens likvärdighetsbeslut. Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. Ett sådant likvärdighetsbeslut av kommissionen är den primära överföringsgrunden och då behövs inget särskilt tillstånd för överföringen.

Om personuppgifter inte kan överföras med utgångspunkt i kommissionens likvärdighetsbeslut ska det utredas om personuppgifter kan överföras på grundval av andra lämpliga skyddsåtgärder. Lämpliga skyddsåtgärder är till exempel standardiserade dataskyddsbestämmelser och bindande företagsbestämmelser.

Om personuppgifter inte kan överföras med utgångspunkt i kommissionens likvärdighetsbeslut eller lämpliga skyddsåtgärder, kan man ytterligare utreda om personuppgifter kan överföras på grundval av ett undantag i särskilda situationer.

Vad förändrades i och med dataskyddsförordningen?

Före EU:s allmänna dataskyddsförordning föreskrevs om överföring av personuppgifter till länder utanför EU och EES i kapitel 5 i personuppgiftslagen. Då skulle en översändning av personuppgifter grunda sig på någon sådan omständighet som behandlades i kapitlet. Även om personuppgiftslagen har upphävts, förutsätter en överföring av personuppgifter utanför EU och EES alltjämt en särskild grund.

De gällande grunderna finns i kapitel V i dataskyddsförordningen. I och med dataskyddsförordningen har antalet överföringsgrunder ökat och en del av de överföringsgrunder som tillämpades tidigare har uppdaterats.

Oförändrade överföringsgrunder

Uppdaterade överföringsgrunder

  • Kommissionens beslut om adekvat skyddsnivå (art. 45)
    • Om kommissionen har fattat beslut om en adekvat skyddsnivå är beslutet den primära grunden för överföring av personuppgifter. Om inget likvärdighetsbeslut har getts ska den personuppgiftsansvariga tillämpa någon annan överföringsgrund.
  • Bindande företagsbestämmelser (art. 47)
  • Undantag i särskilda situationer (art. 49)
    • Om det inte fins något beslut om adekvat skyddsnivå eller om inga lämpliga skyddsåtgärder som avses i artikel 46 har vidtagits, kan en överföring eller en uppsättning överföringar av personuppgifter till tredjeland eller en internationell organisation i begränsade situationer göras med stöd av ett undantag i särskilda situationer som avses i artikel 49 i dataskyddsförordningen.

Nya överföringsgrunder

  • Standardiserade dataskyddsbestämmelser som antagits av tillsynsmyndigheten och godkänts av kommissionen (art. 46:2(d))
  • En godkänd certifieringsmekanism (art. 42, art. 46:2(f)) tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller registrerades rättigheter
  • En godkänd uppförandekod (art. 40, art. 46:2(e)) tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller registrerades rättigheter
  • Ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ (art. 46:2(a))
  • Bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ (art. 46:3(b))*

*Dataskyddsmyndighetens separata tillstånd för tillämpning av en överföringsgrund förutsätts om det handlar om

  • avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen, eller
  • bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.

Vilken överföringsgrund lämpar sig för överföring av personuppgifter?