Har ditt företag koll på de nya bestämmelserna gällande överföring av personuppgifter? 

Sedan några år tillbaka gäller GDPR som lag i Sverige och reglerar hur företag får hantera personuppgifter. Sommaren 2020 kom en dom från EU:s domstol om möjligheterna att överföra personuppgifter till länder utanför EU och EES, det så kallade Schrems II-målet.

Hur påverkar detta ditt företag?

Genom domen begränsas möjligheterna att föra över personuppgifter till USA från EU och EES kraftigt och överföringsmekanismen Privacy Shield som används av många aktörer ogiltigförklaras helt. Domen innebär krav på att den som överför personuppgifter till ett land utanför EU/EES, ett så kallat tredje land måste göra en bedömning av det mottagande landets lagstiftning och vidta lämpliga skyddsåtgärder för att tillse att ett väsentligt likartat skydd som det som erhålls inom EU/EES kan upprätthållas. Samma skyddsnivå för personuppgifter som finns i EU/EES ska nämligen kunna upprätthållas även fast uppgifterna överförs till tredje land.

Vad ska man då tänka på?

Europeiska Dataskyddsstyrelsen (”EDPB”) har antagit rekommendationer om åtgärder som behöver vidtas i anledning av överföring av personuppgifter till tredje land. Av de nya rekommendationerna framgår vilka steg som bör vidtas innan personuppgifter överförs till tredje land. Dessa steg är:

• 1. identifiera vilka överföringar av personuppgifter som sker till tredje land,
• 2. identifiera vilken överföringsmekanism i GDPR kapitel V som används,
• 3. utred huruvida lagstiftning eller praxis i det tredje landet inskränker överföringsmekanismens effektivitet,
• 4. identifiera och tillämpa ytterligare skyddsåtgärder om nödvändigt,
• 5. vidta nödvändiga processuella åtgärder som krävs för tillämpning av de ytterligare skyddsåtgärderna,
• 6. utvärdera med lämpliga intervaller skyddsnivån för personuppgifter som överförts till det tredje landet samt bevaka om det skett eller kommer att ske ändringar som kan komma att påverka skyddsnivån.

På grund av följderna av Schrems II-målet har EU-kommissionen antagit en ny uppsättning standardavtalsklausuler som kan användas vid överföring av personuppgifter till tredje land. Den ena uppsättningen ska kunna användas som ett personuppgiftsbiträdesavtal och den andra uppsättningen för överföring av personuppgifter mellan EU/EES och ett tredjeland. Standardavtalsklausulerna avseende tredjelandsöverföringar utgör ett standardiserat avtalsdokument som kan tillämpas som rättslig grund för överföringar av data till ett tredje land. 

Fortsättningsvis gäller det därför att noggrant kontrollera vilka tredjelandsöverföringar som sker inom er organisation samt utifrån EDPB:s rekommendationer göra en bedömning om det finns rättsligt stöd för överföringarna. Standardavtalsklausulerna kan också användas för att skapa rättsligt stöd. Det är otroligt viktigt att det finns rättsligt stöd för överföringen då behandlingen av personuppgifterna annars kan strida mot GDPR och därmed resulterar i höga böter.

Vi hjälper dig!

Att förstå dataskyddsförordningen kan vara knepigt och med hotet om så pass stora sanktioner är det inte många som vågar ta risken att anpassa sin personuppgiftshantering själva. På HandelsJuristerna har vi ägnat mycket av det senaste året till att tolka, förstå och informera om GDPR. Vi har hjälpt en uppsjö av företag med deras personuppgiftshantering och står gärna till tjänst för dig och ditt företag! Vi erbjuder föredrag, utbildningar och kan även hjälpa dig att upprätta en egen personuppgiftspolicy. Kika gärna in på vår hemsida och hör av dig till oss så berättar vi mer

Kontakta oss på info@handelsjuristerna.se så hjälper vi dig vidare med att identifiera ditt företags behov!