top of page
Sök

Tredjelandsöverföring - Vad är det och varför ska du ha koll?



ree

Många företag känner osäkerhet kring användandet av tjänster och plattformar som kan innebära att personuppgifter överförs utanför EU* – dvs till platser där inte GDPR gäller.


Men först: Vad är egentligen GDPR? Det står för General Data Protection Regulation, och är EU:s dataskyddsförordning, som trädde i kraft 25 maj 2018. Den gäller i EU samt via EES även i Island, Norge och Liechtenstein.

Bakgrunden till osäkerheten är EU-domstolens dom i vad som kallas Schrems II-domen, den dom som slog fast att avtalet för att skicka data mellan EU och USA, Privacy Shield, inte gäller när personuppgifter skickas från EU till USA. I korthet: överföringar av personuppgifter till USA är inte längre tillåtna.


Så, vilka berörs av Schrems II? Företag och organisationer som använder sig av till exempel sociala medier, analystjänster, molntjä


nster samt servrar utanför EU.

Men vad är då en personuppgift? Det handlar om all slags information som indirekt eller direkt kan knytas till en levande person. Exempel: personnummer, cookie-ID, IP-adress, namn, adress, foton och även ljudinspelningar i vissa fall.

Vad är en tredjelandsöverföring? Det är när personuppgifter skickas från EU till ett land där inte GDPR gäller. Exempel på när det sker är:

  • Dokument som innehåller personuppgifter per e-post till någon i ett land utanför EU.

  • Personuppgifter som lagras, till exempel på en server, i ett land utanför EU.

  • Bilder som postas i sociala medier som har datalagring utanför EU.

  • Målgruppsanpassat innehåll/annonser i sociala medier som har datalagring utanför EU.

  • Ett personuppgiftsbiträde i ett land utanför EU.

  • När någon utanför EU får tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU.

  • Personuppgifter som lagras i en molntjänst som är baserad utanför EU.

Så finns det fall när det är ok med tredjelandsöverföring? Det är osäkert vad som krävs för att använda tjänster och plattformar som överför personuppgifter utanför EU. Som huvudregel krävs att en legal grund identifieras exempelvis standardavtalsklausuler samt att organisatoriska och tekniska skyddsåtgärder vidtas för att skydda personuppgifterna.

För att minska risken för höga sanktionsavgifter – dessa kan baseras på omsättningen på koncernmodern – från Integritetsskyddsmyndigheten (IMY) behöver ditt företag dokumentera sina ställningstaganden utifrån sina behov. Detta ska ske genom att bland annat en riskbedömning genomförs i enlighet med EDPB:s (IMY:s Europeiska moderorganisation) rekommendationer 1/2020. Bedömningen av vilka åtgärder som ska användas och i vilken utsträckning det är tillräckligt för att uppnå en godtagbar skyddsnivå ska göras i varje enskilt fall och av exportören dvs. den som öv


erför personuppgifterna genom att använda tjänsten/leverantören.


Rekommendationer

  • Kartlägg vilka tjänster, verktyg och/eller samarbeten som innebär att personuppgifter överförs utanför EU.

  • Kontrollera om leverantören tillämpar EDPB:s godkända standardavtalsklausuler.

  • Kontrollera om leverantören är certifierad av EDPB.

  • Dokumentera era behov av tjänsten och genomför en riskbedömning i enlighet med EDPB:s rekommendation 1/2020.

  • Undersök om organisationen kan vidta egna skyddsåtgärder – kan exempelvis personuppgifterna krypteras eller anonymiseras innan de överförs till leverantören?

  • Lämna information!

  • Säkerställ att information lämnas till de registrerade genom att exempelvis uppdatera organisationens dataskyddspolicy.

  • Uppdatera samtycken och avtal som används bl.a. vid fotografering.

  • Se över och uppdatera er cookieinformation om ni använder cookies som innebär överföring av personuppgifter utanför EU.


Behöver du hjälp med översyn av din martech-stack, mätning, molntjänster osv ur ett Schrems II-perspektiv? Autopista kan hjälpa dig att systematiskt gå igenom berörda tjänster för att kartlägga och tillsammans med jurister – vi samarbetar med några av de ledande i Sverige. Vi stöttar er organisation att ta fram beslutsunderlag för att du och bolagets ledning ska ta rätt beslut om vilka tjänster ni ska använda framåt.





* GDPR gäller i EU samt via EES även i Island, Norge och Liechtenstein. Vid överföring av personuppgifter till alla andra länder än dessa sker alltså tredjelandsöverföring.

ความคิดเห็น

Don't miss out on the latest in digital growth - Subscribe to our newsletter!

Thank you for subscribing to our newsletter!

CONTACT US

Autopista AB

Drottninggatan 112

113 60 Stockholm

 

​​

© 2021 Autopista AB

Thanks for submitting!

bottom of page