3 minute read
Personalhörnan: Johanna Friman
from Stadgaensium 4/2021
by Stadga
VÅGRÄTT
LODRÄTT
2. Innebar före 1889 en förhöjning av bötesbeloppet för dråp eller mord under en period på tjugo dagar fr.o.m. julafton 5. Lyckligtvis kunde Stadgas årsfest ordnas, till skillnad från landets största fest 6. Glögg är en klassisk juldryck. Blossa brukar varje år ha en speciell årgångsglögg. Vilken smak har deras glögg Valencia i år? 8. Har en stark koppling till Stadgas julfest, åtminstone om man sångboken ska tro…
1. Under julen dricker man i stället för Coca Cola (inga invändningar!) 3. Vem har aldrig klätt sig själv trots att hen är jättegammal? 4. Bryr sig inte om julklappar men cashar in nästan 1 miljon varje år på sin jullåt 7. Vilken fisk kan inte simma?
FACIT FINNS PÅ S. 46
33
Nya vindar i dataskyddregleringen – hur kan man överföra personuppgifter utanför EES?
Regleringen av internationell överföring av personuppgifter har genomgått stora förändringar under de senaste åren på grund av domen Schrems II samt kommissionens nya standardklausuler.
I ljuset av dataskyddsregleringen avser Internationell överföring överföringen av personuppgifter från Europeiska ekonomiska samarbetsområdet ("EES") till ett land utanför EES. Länder utanför EES benämns oftast som tredjeländer då EU:s allmänna dataskyddsförordning ("GDPR") inte automatiskt tillämpas på dessa länder, dvs. de är utanför GDPR:s tillämpningsområde. Om det dock sker överföringar av personuppgifter från ett land inom EES till ett tredjeland ska överföringen inte bara ske i enlighet med GDPR utan den måste även uppfylla vissa ytterligare krav för att säkerställa en adekvat nivå av dataskydd innan överföringen kan ske. Syftet för dessa ytterliga krav är att säkerställa en adekvat nivå av dataskydd för personuppgifter som överförs från en stat som är bunden av GDPR till en stat som är utanför EES som däremot inte är bunden av GDPR.
Som nämnts ovan innehåller GDPR vissa regler som begränsar överföringen till tredjeländer. Sådana överföringar avser både överföring av data till exempel till servrar som finns i ett tredjeland samt behandlingen av data utanför EES genom att öppna en teknisk anslutning som möjliggör åtkomsten till data som lagras i Finland eller någon annanstans inom EES. Det är viktigt att uppmärksamma denna definition, eftersom öppnandet av en teknisk anslutning till data som lagras inom EES, som vidare möjliggör behandlingen av data utanför EES, uppfyller definitionen av dataöverföring till ett tredjeland. För att en internationell överföring ska kunna ske måste minst ett av GDPR:s överföringskriterier uppfyllas: 1. Likvärdighetsbeslut av kommissionen, dvs. ett formellt beslut om att dataskyddsnivån är
34
adekvat i ett visst land (inklusive delbeslut såsom US Privacy Shield) 2. Lämpliga skyddsåtgärder, såsom standardklausuler som godkänts av kommissionen 3. Undantag för specifika fall. Kommissionen har publicerat ca ett tiotal likvärdighetsbeslut, men det vanligaste överföringskriteriet är standardklausulerna som godkänts av kommissionen. Standardklausulerna är s.k. standardavtalsklausuler som publicerats av kommissionen och som innehåller vissa villkor för internationell överföring och som oftast inkluderas som sådana i ett avtal. Kommissionen publicerade faktiskt under sommaren 2021 nya standardklausuler för överföringen av personuppgifter till tredjeländer. De nya standardklausulerna baserade sig på ett avgörande från EUdomstolen i juli 2020, den så kallade Schrems II-domen, gällande tillräckligheten av dataskyddsnivån i USA och som dessutom satt väsentliga ytterligare krav för bedömningen av lagligheten av internationella överföringar. Efter den ovan nämnda Schrems II-domen, upphävdes Privacy Shield-avtalet mellan EU och USA och dessutom sattes det väsentliga ytterligare krav på överföringar baserade på standardklausuler i allmänhet. Som ett resultat av domen kräver överföringar av personuppgifter, baserade på standardklausuler, en mera omfattande riskbedömning och eventuella ytterligare skyddsåtgärder såsom effektiv datakryptering eller pseudonymisering. Det betyder att personuppgiftsansvarige alltid måste bedöma om den överförda datan uppnår en sådan skyddsnivå som väsentligen motsvarar den som garanteras inom EU, med hänsyn särskilt till tredjelandets lagstiftning om myndigheternas tillgång till datan, och ifall det inte är möjligt att uppnå samma nivå måste personuppgiftsansvarige bedöma och vidta nödvändiga ytterligare säkerhetsåtgärder. Dessa krav på att genomföra en riskbedömning av dataöverföringar och att genomföra nödvändiga ytterligare skyddsåtgärder utgör en betydligt mer krävande procedur jämfört med marknadspraxis före Schrems IIdomen.
Företag måste innan den 27 december 2022 införa dessa nya standardklausuler i avtalsförhållanden där personuppgifter överförs till tredjeländer och där det inte finns någon annan GDPR-motivering för överföringen än att tillämpa lämpliga skyddsåtgärder. Det är bra att notera att företags verksamhet väldigt ofta kräver överföringen av data till tredjeländer, till exempel genom användningen av molntjänster eller andra tjänster som tillhandahålls av teknikjättar.
Camilla Söderholm, Associate, Dittmar & Indrenius
Julia Vikström, Associate, Dittmar & Indrenius
35
