I kapitel V GDPR finns ett särskilt regelverk som reglerar tredjelandsöverföring. Ett tredje land är ett land utanför EU/EES och för att föra över personuppgifter till ett tredje land krävs att de finns en laglig grund, i enlighet med GDPR. En av de möjliga förutsättningarna är att tillämpa standardavtalsklausuler (Standard Contractual Clauses, SCC). Det föreligger dock en risk för att standardavtalsklausulerna inte motsvarar det skydd för personuppgiftsbehandlingar som GDPR uppställer.
Standardavtalsklausuler
Det finns tre uppsättningar av standardavtalsklausuler, som samtliga är grundade på dataskyddsdirektivet (95/46/EG), det vill säga det direktiv som gällde innan GDPR blev tillämplig. Standardavtalsklausulerna tillkom år 2001, 2004 och 2010. Två av tre uppsättningar reglerar relationen då både avsändare och mottagare är personuppgiftsansvariga. Standardavtalsklausulerna från 2010 lämpar sig för den situation där avsändaren är personuppgiftsansvarig och mottagaren ett personuppgiftsbiträde.
Läs mer om relationen mellan personuppgiftsansvariga och personuppgiftsbiträde här.
Läs mer om relationen mellan två personuppgiftsansvariga här.
Safe Harbor
Vid en överföring av personuppgifter från EU till USA tillämpades tidigare ett särskilt regelverk, Safe Harbor-systemet, som år 2015 ogiltigförklarades av EU-domstolen. Safe Harbor-principerna skulle garantera de registrerade ett fullgott skydd för personuppgifter då unionsmedborgarnas uppgifter överfördes från Europeiska unionen till USA.
Ogiltigförklarandet baserades på kommissionens underlåtande att konstatera genom vilka åtgärder USA vidtog i sin interna lagstiftning eller internationella åtaganden för att uppnå en adekvat skyddsnivå. De generellt utformade Safe Harbor-principerna medförde även att nationell rätt hade företräde framför Safe Harbor-systemet i de fall den nationella rätten krävde det. I de fall den nationella rätten hade krävt ett åsidosättande av Safe Harbor-principerna visades även att åsidosättandet inte varit strängt nödvändigt. Numera används ett certifieringssystem kallat Privacy Shield vid överföringar till just USA, men inte till andra tredje länder.
Vad har detta att göra med standardavtalsklausuler?
Vilka företag kan välja att tillämpa standardavtalsklausuler när en överföring av personuppgifter sker från EU till ett annat tredje land än USA? Jo, standardavtalsklausulerna påvisar nämligen liknande brister och strukturer som det ogiltigförklarade Safe Harbor-systemet påvisade.
Strukturerna i klausulerna möjliggör att ett tredje lands nationella rätt ges företräde framför principerna i standardavtalsklausulerna på ett sätt som kan äventyra skyddet av personuppgifter som följer av GDPR. Vid GDPR:s ikraftträdande infördes även nya bestämmelser som bör beaktas vid en tillämpning av standardavtalsklausuler – d.v.s. som standardklausulerna i nuläget sannolikt inte tillgodoser.
GDPR medför nämligen exempelvis striktare krav vad beträffar det inbördes arrangemang som ska finnas på plats i de fall en personuppgiftsöverföring sker mellan två personuppgiftsansvariga. När det gäller överföring av personuppgifter mellan en personuppgiftsansvarig och ett personuppgiftsbiträde ska de bestämmelser som stadgas i artikel 28 GDPR följas. Artikeln avspeglas dock inte fullt ut i 2010 års standardavtalsklausuler för en sådan avtalsrelation. Det kan därför vara en god idé att vid sidan av avtalet med standardavtalsklausulerna komplettera dessa krav.
Standardavtalsklausuler och GDPR
Standardavtalsklausulerna som är framtagna av EU-kommissionen liknar strukturer i Safe Harbor-systemet, på så sätt att det genom vissa klausuler enligt ordalydelsen ges utrymme för att åsidosätta standardavtalsklausulerna till fördel för nationell rätt, se exempelvis beaktandeskäl 11 i kommissionens beslut 2010/87/EU (2010 års standardavtalsklausuler) och artikel 1 (2) kommissionens beslut 2004/915/EG (2004 års standardavtalsklausuler). Det personuppgiftsskydd som är tilltänkt att gälla inom EU kan därför undermineras genom ett användande av standardavtalsklausulerna. Därför kan det behövas kompletteras med ytterligare avtalsvillkor, utöver standardavtalsklausulerna för att efterleva kraven i GDPR.
Exempel på krav i artikel 28 GDPR som inte 2010 års standardavtalsklausuler (för överlämnande från personuppgiftsansvarig till personuppgiftsbiträde) inkluderar:
– Konfidentialitetsreglering.
– Tidsperiod för behandling av personuppgifter.
– Personuppgiftsbiträdets skyldighet att medverka vid en personuppgiftsincident.
Pågående rättegång
Ytterst är det EU-domstolen som avgör om unionsmedborgarnas personuppgifter skyddas i tillräcklig utsträckning nr de överförs till tredjeland, med stöd av dessa instrument.
Nyligen, 9 juli 2019, hölls muntlig förhandling i mål C-311/18 Facebook Ireland och Schrems som rör just tillämpningen av standardavtalsklausuler. Avgörande i målet inväntas och vi uppdaterar när det är tillgängligt.
Kontakt
Har ni frågor och funderingar avseende överföringar av personuppgifter till tredje land är ni varmt välkomna att höra av er antingen på mejlen eller via telefon 046 – 273 17 17.
