Ny EDPB-vägledning om vad som utgör tredjelandsöverföringar

EU-domstolens dom i Schrems II-målet utgjorde en tydlig påminnelse om att skyddet för personuppgifter måste hålla en tillräckligt hög nivå vid överföring av personuppgifter till tredje land. I kölvattnet av domen antog den Europeiska Dataskyddsstyrelsen (”EDPB”) nya rekommendationer om åtgärder som behöver vidtas med anledning av överföring av personuppgifter till länder utanför det Europeiska ekonomiska samarbetsområdet (”tredje land”) (EDPB:s rekommendationer går att läsa i sin helhet här). I syfte att tydliggöra vad som utgör en tredjelandsöverföring och särskilt för att förtydliga samspelet med förordningens territoriella tillämpning publicerade EDPB den 18 november 2021 en ny vägledning om vad som utgör tredjelandsöverföringar.

Inledningsvis noterar EDPB i vägledningen att det i GDPR inte finns någon definition av begreppet ”överföring till ett tredjeland eller en internationell organisation”. I syfte att klargöra begreppet har EDPB identifierat tre kumulativa rekvisit. Dessa rekvisit är:

• En personuppgiftsansvarig eller ett personuppgiftsbiträde lyder under GDPR för en angiven personuppgiftsbehandling.

• Den personuppgiftsansvarige eller personuppgiftsbiträdet (”exportören”) överför eller annars tillgängliggör de personuppgifter som är föremål för behandlingen till en annan personuppgiftsansvarig, till en gemensamt personuppgiftsansvarig eller till ett personuppgiftsbiträde (”importören”)

• Importören befinner sig i ett tredje land eller är en internationell organisation, oavsett om importören lyder under GDPR avseende den aktuella personuppgiftsbehandlingen, i enlighet med artikel 3 GDPR, eller inte.

Vägledningen ger därefter exempel på huruvida olika situationer utgör tredjelandsöverföringar eller inte, samt förklaringar till respektive bedömning. Exempel på situationer som enligt EDPB utgör tredjelandsöverföringar är:

• En personuppgiftsansvarig inom EU överför personuppgifter till ett personuppgiftsbiträde i ett tredje land.

• Ett personuppgiftsbiträde inom EU som mottagit personuppgifter från en personuppgiftsansvarig i tredje land överför personuppgifter tillbaka till personuppgiftsansvarig i ett tredje land.

• Ett personuppgiftsbiträde inom EU överför personuppgifter till underbiträde i ett tredje land.

• Ett dotterbolag (personuppgiftsansvarig) inom EU överför personuppgifter till dess moderbolag (personuppgiftsbiträde) i ett tredje land.

Exempel på situationer som enligt EDPB inte utgör tredjelandsöverföringar är:

• En personuppgiftsansvarig i ett tredje land inhämtar personuppgifter direkt från en registrerad inom EU.

• En anställd hos en personuppgiftsansvarig inom EU reser på affärsresa till ett tredje land och behandlar personuppgifter genom sin jobbdator därifrån.

EDPB påminner i vägledningen om att oavsett om personuppgifter behandlas inom EU eller i ett tredje land ska personuppgiftsansvariga och personuppgiftsbiträden vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i enlighet med artikel 32 GDPR, och i övrigt följa förordningens bestämmelser. Även om personuppgiftsbehandling inte utgör en överföring kan den alltså vara otillåten på andra grunder, exempelvis som att det inte skulle anses säkert att behandla personuppgifter i ett tredjeland mot bakgrund av skyldigheterna i artikel 32 GDPR.

Vägledningen är intressant ur flera aspekter då den i några delar innebär att bestämmelserna om tredjelandsöverföring blir mindre vidsträckta i sin tillämpning än vad vissa tidigare bedömt. Ett exempel på detta är kravet på att en personuppgiftsansvarig/ett personuppgiftsbiträde överför eller annars tillgängliggör personuppgifter till en annan personuppgiftsansvarig/annat personuppgiftsbiträde för att det ska klassas som en överföring till tredjeland. Behandling inom en verksamhet etablerad inom EU anses alltså inte utgöra en tredjelandsöverföring även om exempelvis en anställd skulle resa till ett tredjeland och behandla uppgifter där. Frågan skulle kunna ställas på sin spets om en anställd regelmässigt arbetar från ett tredjeland men är anställd av en personuppgiftsansvarig som är etablerad med sin huvudsakliga verksamhet inom EU. Enligt EDPB:s definition skulle det kunna vara så att detta inte utgör en tredjelandsöverföring.

Vägledningen är publicerad för samråd. Eventuella synpunkter ska lämnas senast den 31 januari 2022. Därefter kommer EDPB att anta och publicera en slutversion av vägledningen. Vi kommer naturligtvis att rapportera mer på bloggen om vägledningen och överföring av personuppgifter till tredje land.