För att funktionen du försöker använda ska fungera korrekt behöver du uppdatera ditt samtycke. Du kan alltid ändra dig genom att klicka på Cookieinställningar i sidfoten.

podcast news play företagaren I media förmån faq

Checklista: överföring av personuppgifter till USA och andra tredjeländer

EU-domstolen har ogiltigförklarat Privacy Shield. Vad finns det för möjlighet för mitt företag att hantera personuppgifter utanför EU/EES?
6 punkter för att följa GDPR

För att du som personuppgiftsansvarig, eller ditt personuppgiftsbiträde, ska få överföra personuppgifter till område utanför EU/EES ska du se till att personerna får samma skydd som enligt GDPR.

Här förklarar vi vilka villkor du måste uppfylla för att få överföra personuppgifter:

Land på EU-kommissionens lista över länder med adekvat skyddsnivå

Vissa länder har av EU-kommissionen bedömts ha en skyddsnivå för personuppgifter som är likvärdig med den i EU. Om ett företag överför personuppgifter till ett sådant land, är överföringen tillåten utan att ytterligare åtgärder krävs.

Överenskommelse mellan offentliga myndigheter

Om det finns en specifik överenskommelse mellan två offentliga myndigheter (t.ex. mellan en myndighet i ett EU-land och en myndighet i ett tredjeland), kan överföringen ske på detta sätt om överenskommelsen innehåller skyddsåtgärder för personuppgifterna.

EU-standardavtalsklausuler

Företag kan använda standardiserade avtal som tagits fram av EU för att säkerställa att personuppgifter skyddas när de överförs utanför EU/EES. Dessa klausuler garanterar att mottagaren i tredjelandet förbinder sig att hantera uppgifterna enligt EU
dataskyddsregler.

Bindande företagsbestämmelser (BCR)

Större koncerner eller företag kan utveckla sina egna interna regler, så kallade bindande företagsbestämmelser, för hur personuppgifter ska skyddas när de överförs mellan företag inom samma koncern, även om de är belägna i olika länder. Dessa regler måste godkännas av en dataskyddsmyndighet innan de kan användas.

Samtycke från den registrerade

Om ingen annan rättslig grund finns för överföringen, kan företaget begära ett uttryckligt samtycke från den person vars uppgifter ska överföras. Samtycket måste vara specifikt för just den behandlingen och personen måste ha informerats om riskerna med överföringen till ett land som kanske inte har lika starka dataskyddsregler.

Detta är alltså olika sätt att säkerställa att personuppgifter skyddas vid internationella överföringar enligt GDPR.

Privacy Shield gäller inte  

Rättsfallet Schrems II uppmärksammade att EU:s överenskommelse med USA, Privacy Shield, inte var tillräckligt för att företag inom EU ska få behandla personuppgifter i USA. I stället ska du använda någon av de andra punkterna enligt GDPR som ger möjlighet att behandla personuppgifter utanför EU/EES och dessa ska även kompletteras med bedömningen att kompletterande skyddsåtgärder är tillräckliga.

6 punkter för att följa GDPR 

Nedan är några punkter för vad ditt företag bör göra för att ni ska uppfylla kraven i GDPR. Detta gäller alltid, även när du för över uppgifter till USA eller inom Sverige. 

  1.  Börja med att gå igenom ditt företags register över behandlingar av personuppgifter och kontrollera vilka av behandlingarna innebär att personuppgifter hanteras utanför EU/EES. Gör en lista med alla behandlingar utanför EU/EES.
  2. Se över om ditt företag kan minska behandlingen av personuppgifter. Ni kanske inte längre behöver behandla personuppgifterna eller kan behandla färre personuppgifter? 
  3. Gå igenom listan över behandlingar utanför EU/EES.
    1. Kontrollera med leverantörer av system och personuppgiftsbiträden vad de stöder behandlingen på och vilka ytterligare skyddsåtgärder som vidtagits. Prioritera de behandlingar som gäller känsliga personuppgifter.
    2. Gå igenom övriga behandlingar på listan och undersök om ni behöver komplettera med ytterligare skyddsåtgärder som till exempel pseudonymisering av personuppgifterna.
  4.  Uppdatera kontinuerligt ditt företags register över behandlingar av personuppgifter om till exempel vidtagna skyddsåtgärder som komplement till standardavtalsklausulerna.
  5. När du ingår nya avtal kan du inte använda Privacy Shield utan ska använda någon av annan möjlighet att få hantera personuppgifterna utanför EU/EES. Tänk på att de registrerade ska få samma skyddsnivå som de har inom EU/EES enligt GDPR.

 

Taggar
Riks Artikel
Räkna ut kostnaden för ditt medlemskap

Medlemskapet ger dig rabatter, rådgivning och nätverk.