NYA RIKTLINJER FRÅN EDPB OM ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND

Written By Martin Orehag

IN ENGLISH BELOW

Europeiska dataskyddsstyrelsen (EDPB) har publicerat en ny vägledning om samspelet mellan GDPRs territoriella räckvidd och bestämmelserna om internationella överföringar i kapitel V. GDPR innehåller idag inte någon definition av vad som är en internationell överföring av personuppgifter. Då en internationell överföring kräver särskilda säkerhetsåtgärder är det viktigt att kunna fastställa vad som omfattas av begreppet.

Syftet med de nya riktlinjerna är att hjälpa företag och personer som planerar att arbeta över landsgränserna att identifiera om en behandling är en internationell överföring av personuppgifter. I GDPRs nya riktlinjer har det antagits tre kumulativa kriterier som alla ska vara uppfyllda för att en behandling ska klassificeras som en internationell överföring.

 1.       Den som exporterar uppgifterna (en personuppgiftsansvarig eller ett biträde) omfattas av GDPR för den aktuella behandlingen

2.       Den som exporterar uppgifterna överför eller gör personuppgifterna tillgängliga för den som importerar uppgifterna (en annan personuppgiftsansvarig, gemensam personuppgiftsansvarig eller personuppgiftsbiträde).

3.       Den som importerar uppgifterna befinner sig i ett tredje land eller är en internationell organisation.

 Den nya definitionen av vad som är en internationell överföring är relativt omfattande. De nya riktlinjerna klargör att en internationell överföring äger rum både när en exportör skickar uppgifterna eller när uppgifterna bara görs tillgängliga för åtkomst till någon i ett tredjeland, under de villkor som anges ovan.

Riktlinjerna innehåller flera exempelsituationer på vad som är en internationell överföring. Ett av exemplen är när ett företag skickar en anställd på tjänsteresa till ett tredje land och den anställde ansluter sig på distans till företagets nätverk. Eftersom informationen juridiskt sett skickas internt inom samma företag och inte till en annan personuppgiftsansvarig eller personuppgiftsbiträde är det inte fråga om en internationell överföring. Datadelning mellan företag i samma koncern (moderbolag och dotterbolag) som är separata personuppgiftsansvariga eller personuppgiftsbiträden kan dock enligt vägledningen utgöra en internationell överföring.

 Advokatfirman MORE Evander HB tillhandahåller rådgivning och tjänster inom bl.a. dataskyddsarbete. Vi bistår löpande våra kunder i den typen av frågor som behandlas i denna text. Har ni frågor eller vill ha vår hjälp är ni välkomna att kontakta oss på info@amelegal.se eller telefon 08-20 06 10

 

 

NEW GUIDELINES FROM EDPB ON THE TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES

The European Data Protection (EDPB) has published a new guideline on the interplay between the GDPR´s territorial range and the provisions on international transfers as per chapter V. The GDPR does not provide a legal definition of the notions “transfers of personal data to a third country”. Since an international transfer requires special security measures, it is important to determine what transfers is covered by the notion.

The new guidelines aim to assist controllers and processors in the EU in identifying whether a processing constitute a transfer to a third country or to an international organisation. The EDPB has identified the three following cumulative criteria that qualify a processing as a transfer:

1.       A controller or a processor is subject to the GDPR for the given processing.

2.       This controller or processor (“exporter”) discloses by transmission or otherwise makes

personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).

3.       The importer is in a third country or is an international organisation, irrespective of whether

or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3.

 

The new definition of an international transfer is relatively extensive. The new guidelines states that an international transfer takes place both when an exporter sends the data or when the data is only made available for access to someone in a third country, under the conditions set out above.

 

The guidelines contain several examples of what an international transfer is. One of the examples is when a company sends an employee on a business trip to a third country and the employee connects remotely to the company´s database. Since the information is legally sent internally within the same company and not to another data controller or processor, this is not an international transfer. However, data sharing between companies in the same corporate group (parent company and affiliated company) that are separate controllers or processors may, according to the guidelines constitute an international transfer.

 

If all the criteria as identified by the EDPB are met, there is a “transfer to a third country or to an

international organisation”. As a consequence, the controller or processor in a “transfer” situation needs to comply with the conditions of Chapter V and frame the transfer by using the instruments which aim at protecting personal data after they have been transferred to a third country or an international organisation.

 

Advokatfirman MORE Evander HB provides legal consultation and services in areas such as data protection. We continuously assist our customers with questions addressed in this text. If you have any questions or want our assistance you are welcome to contact us info@amelegal.se or phone +46 8 20 06 10

Martin Orehag
Previous

Finansinspektionens vägledning om justerat försäljnings- och inlösenpris (swing pricing)
Next

MORE Evander har biträtt vid avtal om aktieöverlåtelse