För att du som personuppgiftsansvarig, eller ditt personuppgiftsbiträde, ska få överföra personuppgifter till område utanför EU/EES ska du se till att personerna får samma skydd som enligt GDPR. Ditt företag ska som personuppgiftsansvarig också kunna hänvisa till att överföringen skett med stöd av något följande:

• land på EU-kommissionens lista över länder med adekvat skyddsnivå
• överenskommelse mellan offentliga myndigheter
• EU:s standardavtalsklausuler
• bindande företagsbestämmelser godkända av dataskyddsmyndighet
• samtycke från den registrerade för den specifika behandlingen

Privacy Shield gäller inte  

Rättsfallet Schrems II uppmärksammade att EU:s överenskommelse med USA, Privacy Shield, inte var tillräckligt för att företag inom EU ska få behandla personuppgifter i USA. I stället ska du använda någon av de andra punkterna enligt GDPR som ger möjlighet att behandla personuppgifter utanför EU/EES och dessa ska även kompletteras med bedömningen att kompletterande skyddsåtgärder är tillräckliga.

Läs också: 47 vanliga frågor om GDPR 

6 punkter för att följa GDPR

Nedan är några punkter för vad ditt företag bör göra för att ni ska uppfylla kraven i GDPR.

1. Börja med att gå igenom ditt företags register över behandlingar av personuppgifter och kontrollera vilka av behandlingarna innebär att personuppgifter hanteras utanför EU/EES. Gör en lista med alla behandlingar utanför EU/EES.

2. Komplettera registret över behandlingar av personuppgifter med de behandlingar som ditt företag missat att ta upp i registret. Om någon av dem innebär behandling utanför EU/EES så ta upp även den på listan över behandlingar utanför EU/EES.

3. Ditt företag ska minimera behandlingen av personuppgifter. Ni kanske inte längre behöver behandla personuppgifterna eller kan behandla färre personuppgifter.

4. Gå igenom listan över behandlingar utanför EU/EES.

a) Börja med de där det står att de kan hanteras utanför EU/EES med stöd av Privacy Shield och undersök om ni kan använda något annat stöd till exempel standardavtalsklausulerna. Kontrollera med leverantörer av system och personuppgiftsbiträden vad de stöder behandlingen på och vilka ytterligare skyddsåtgärder som vidtagits. Prioritera de behandlingar som gäller känsliga personuppgifter.

b) Gå igenom övriga behandlingar på listan och undersök om ni behöver komplettera med ytterligare skyddsåtgärder som till exempel pseudonymisering av personuppgifterna.

5. Uppdatera kontinuerligt ditt företags register över behandlingar av personuppgifter om till exempel vidtagna skyddsåtgärder som komplement till standardavtalsklausulerna.

6. När du ingår nya avtal kan du inte längre använda Privacy Shield utan ska använda någon av annan möjlighet att få hantera personuppgifterna utanför EU/EES. Tänk på att de registrerade ska få samma skyddsnivå som de har inom EU/EES enligt GDPR.