meny

Hur vidtar vi lämpliga skyddsåtgärder?

Personuppgifter får överföras till ett land utanför EU/EES om ni vidtar så kallade lämpliga skyddsåtgärder:

  • bindande företagsbestämmelser
  • standardavtalsklausuler som EU-kommissionen har beslutat om
  • godkända uppförandekoder eller certifieringsmekanismer
  • rättsligt bindande instrument mellan myndigheter.

Det måste dessutom finnas lagstadgade rättigheter och möjlighet för de registrerade att klaga på personuppgiftsbehandlingen och få den prövad i domstol.

Bindande företagsbestämmelser

Bindande företagsbestämmelser (Binding Corporate Rules, BCR) är regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin behandling av personuppgifter. Bindande företagsbestämmelser måste godkännas av Datainspektionen eller någon annan tillsynsmyndighet i EU.

I dataskyddsförordningen finns detaljerade bestämmelser om vad bindande företagsbestämmelser ska innehålla och hur det går till när tillsynsmyndigheten behandlar ärenden om att få bindande företagsbestämmelser godkända. Innan en tillsynsmyndighet godkänner bindande företagsbestämmelser ska den begära yttrande från den Europeiska dataskyddsstyrelsen, där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.

Standardavtalsklausuler som EU-kommissionen har beslutat om

EU-kommissionen har godkänt vissa standardavtalsklausuler som handlar om dataskydd (Standard Contractual Clauses, SCC). Om ni ingår avtal, som innehåller dessa standardavtalsklausuler, med någon utanför EU/EES, så är det tillåtet att överföra personuppgifter till dem. Observera dock att ni inte får ändra i klausulerna. Om det är nödvändigt kan ni få lägga till klausuler om affärsrelaterade frågor, men sådana får då inte strida mot någon standardavtalsklausul.

Standardavtalsklausulerna innehåller skyldigheter dels för personuppgiftsansvariga som vill föra över personuppgifter till länder utanför EU/EES, dels för personuppgiftsansvariga eller personuppgiftsbiträden som tar emot sådana uppgifter. Klausulerna reglerar också andra frågor kring överföringen, till exempel de registrerades rättigheter och hur tvister med anledning av avtalet ska lösas.

Det finns tre alternativ att välja mellan när det gäller standardavtalsklausuler. Alla tre har godkänts av EU-kommissionen. Två av dessa gäller överföring till andra personuppgiftsansvariga i länder utanför EU/EES. Det tredje avser överföring av personuppgifter till personuppgiftsbiträden i länder utanför EU/EES.

De svenska versionerna:
Alternativ 1
Alternativ 2
Alternativ 3

Uppförandekoder och certifieringsmekanismer

Om ni ansluter er till en godkänd uppförandekod eller godkänd certifieringsmekanism kan det vara tillåtet att överföra personuppgifter till länder utanför EU/EES. Detta gäller under förutsättning att dessa medför rättsligt bindande och verkställbara skyldigheter även för mottagaren av personuppgifterna.

Rättsligt bindande instrument mellan myndigheter

Det är tillåtet att grunda en överföring av personuppgifter till ett land utanför EU/EES på ett så kallat rättsligt bindande och verkställbart instrument, om överföringen sker mellan myndigheter. Ett sådant instrument mellan myndigheter kan vara ett samförståndsavtal eller ett informationsutbytesavtal inom till exempel skatteområdet.

Datainspektionen kan ge särskilt tillstånd

Ni får också överföra personuppgifter till ett land utanför EU/EES om ni har fått tillstånd från Datainspektionen.

Ett sådant tillstånd kan lämnas om överföringen grundar sig på avtalsklausuler mellan den som för över personuppgifter och mottagaren av dessa. Om det gäller överföring av personuppgifter mellan myndigheter kan tillstånd även lämnas om överföringen grundar sig på bestämmelser i administrativa överenskommelser som innehåller verkställbara och faktiska rättigheter för de registrerade. Innan Datainspektionen beslutar om särskilt tillstånd ska ett yttrande inhämtas från den Europeiska dataskyddsstyrelsen, där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.