5 Överföring av personuppgifter till tredjeland
5.1 Om detta kapitel
Dataskyddsförordningen innehåller detaljerade regler rörande under vilka omständigheter överföring av personuppgifter till tredjeländer eller internationella organisationer får äga rum, och i detta kapitel behandlas de reglerna. En redogörelse för dessa regler är nödvändig för att förstå domarna i Schrems I och II och deras betydelse för framtida överföringar.
5.2 Allmän princip för överföring av uppgifter
Av skälen till dataskyddsförordningen framgår att flöden av personuppgifter till och från länder utanför EU anses nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av sådana flöden har dock medfört nya utmaningar och farhågor för personuppgiftsskyddet. Ett centralt syfte med reglerna om överföring av personuppgifter till tredjeland är därför att den skyddsnivå som fysiska personer garanteras inom EU enligt förordningen inte undergrävs vid sådana överföringar.338 Till följd av detta föreskriver artikel 44 ett förbud mot att överföra personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland i andra fall än som framgår av kapitel 5 i förordningen.339 Förbudet gäller även vidare överföring från tredjelandet till ett annat tredjeland. Det verkar inte krävas att överföringen till tredjeland innebär att personuppgifterna lämnas ut till tredje part. Även om personuppgifterna hela tiden är under den personuppgiftsansvarigas kontroll kan det därmed vara fråga om en överföring till tredjeland.340 Överföring av personuppgifter till tredjeland som är nödvändig för att följa förordningen omfattas inte av förbudet i artikel 44.341
Enligt praxis rörande innebörden av en överföring till tredjeland är det inte fråga om sådan överföring när en internetpublicering sker från en server som innehas av någon som är etablerad inom EU/EES.342 Var den faktiska servern som personuppgifterna lagras på är placerad tycks
338 Skäl 101 till förordningen.
339 Se även artikel 48 som reglerar överföringar och utlämnanden som inte är tillåtna enligt EU-rätten.
340 Öman, s. 467.
341 A. a. s. 466.
342 Domstolens dom av den 6 november 2003, Brottmål mot Bodil Lindqvist, C-101/01, ECLI:EU:C:2003:596, NJA 2005 s. 361, jfr. Ds 2007:43 s. 259.
53
därmed inte ha någon betydelse. Avgörande är istället om den som har servern är etablerad inom EU/EES.343
5.3 Överföring på grundval av ett beslut om adekvat skyddsnivå
Personuppgifter får enligt artikel 45, som utgör ett undantag från förbudet i artikel 44, överföras till ett tredjeland om kommissionen har beslutat att det landet säkerställer en adekvat skyddsnivå. Överföring får då ske utan särskilt tillstånd i varje enskilt fall. Tanken bakom regleringen är att skapa rättslig säkerhet och enhetlighet i hela EU rörande tredjelandets skyddsnivå.344 Av det skälet ges inte den personuppgiftsansvarige utrymme att på egen hand göra en bedömning av om kravet på adekvat skyddsnivå är uppfyllt, vilket är en väsentlig förändring i jämförelse med PuL.345
I artikel 45.2 klargörs vad kommissionen ska beakta vid en bedömning av om ett tredjeland kan säkerställa en adekvat skyddsnivå. I skäl 104 till förordningen förtydligas att kommissionen vid bedömningen bör beakta exempelvis hur ett tredjeland respekterar rättsstatsprincipen, tillgång till rättslig prövning samt internationella människorättsnormer. Kommissionen bör vidare beakta skyldigheter kopplade till skydd av personuppgifter och genomförande av sådana skyldigheter som följer av ett tredjelands deltagande i multilaterala eller regionala system. I detta sammanhang framhålls särskilt tredjelandets anslutning till Europarådets konvention 108 om dataskydd.346 Här bör även noteras att för att en behandling i form av överföring av personuppgifter till tredjeland överhuvudtaget ska få genomföras måste den ha en laglig grund enligt artikel 6.1. Vidare måste de grundläggande principerna i artikel 5.1 vara uppfyllda.347
Kommissionen ska övervaka utvecklingen och inrätta en mekanism för periodisk översyn i beslutet om adekvat skyddsnivå.348 Ett kommissionsbeslut om adekvat skyddsnivå kan upphävas, och sedan EU-domstolens dom i Schrems I även ogiltigförklaras, med följden att överföring av personuppgifter till det tredjelandet blir förbjuden. Så är åtminstone fallet om det inte finns förutsättningar enligt förordningens bestämmelser för överföring med stöd av
343 Öman, s. 471.
344 Skäl 103 till förordningen.
345 Magnusson Sjöberg, Dataskyddsförordningen, artikel 45, Lexino lagkommentar (JUNO), 2020-07-28.
346 Skäl 105 till förordningen.
347 Öman, s. 476.
54
lämpliga skyddsåtgärder. Om sådana förutsättningar föreligger bör det finnas möjlighet till samråd mellan kommissionen och tredjelandet i fråga.349
Ett konstaterande från kommissionen enligt artikel 45.5 av innebörden att ett tredjeland inte längre säkerställer en adekvat skyddsnivå hindrar inte att överföring sker i enlighet med artiklarna 46–49.350 Vidare gäller beslut om adekvat skyddsnivå som fattats enligt det tidigare gällande dataskyddsdirektivet även fortsättningsvis, tills det att de ändras, ersätts eller upphävs.351
Avslutningsvis kan det noteras att den personuppgiftsansvarige eller personuppgiftsbiträdet, även om det inte finns ett beslut om adekvat skyddsnivå avseende ett tredjeland, bör vidta vissa åtgärder i samband med överföring till tredjeland. De bör då använda sig av lösningar som ger de registrerade verkställbara och effektiva rättigheter gällande behandlingen av deras personuppgifter inom EU när uppgifterna väl överförts. Detta gör det möjligt för registrerade att fortsätta utöva sina grundläggande rättigheter och säkerställer att skyddsåtgärder fortfarande gäller i förhållande till dem.352
5.4 Överföring som omfattas av lämpliga skyddsåtgärder
Om ett beslut om adekvat skyddsnivå inte fattats av kommissionen får en personuppgiftsansvarig eller ett personuppgiftsbiträde enligt artikel 46 bara överföra personuppgifter till ett tredjeland efter att ha vidtagit lämpliga skyddsåtgärder. Syftet med lämpliga skyddsåtgärder är att kompensera för det bristande dataskyddet som kan antas finnas i det tredjelandet när ett beslut om adekvat skyddsnivå saknas.353 Skyddsåtgärderna bör säkerställa iakttagande av krav rörande dataskydd och registrerades rättigheter som skulle anses lämpliga vid behandling inom EU. Detta inbegriper krav på bindande rättigheter för de registrerade och tillgång till effektiva rättsmedel.354 Med effektiva rättsmedel menas en rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation i EU eller i ett tredjeland.355 I de fall som omfattas av den här artikeln, liksom i de fall som omfattas av artikel
349 Artikel 45.4 och 45.5, se även skäl 107 till förordningen.
350 Artikel 45.7. 351 Artikel 45.9. 352 Skäl 114 till förordningen. 353 Skäl 108 till förordningen. 354 Öman, s. 480. 355 Skäl 108 till förordningen.
55
45, måste de grundläggande förutsättningarna för behandling i artikel 5.1 och 6.1 vara uppfyllda.356
Ett exempel på lämpliga skyddsåtgärder är standardiserade dataskyddsbestämmelser som antagits av kommissionen eller av en tillsynsmyndighet för att sedan godkännas av kommissionen, s.k. standardavtalsklausuler.357 Standardavtalsklausulerna innehåller skyldigheter dels för personuppgiftsansvariga som vill föra över uppgifter till tredjeland, dels för ansvariga eller personuppgiftsbiträden som tar emot uppgifterna. Klausulerna reglerar också andra frågor kring överföringen, som exempelvis hur tvister med anledning av avtalet ska lösas. Syftet med avtalsklausulerna är att ge tillräckliga garantier för att enskildas rättigheter ska skyddas vid överföring av personuppgifter till länder som inte har en adekvat skyddsnivå.358
Standardavtalsklausulerna kan tas in i ett större avtal, där fler skyddsåtgärder också kan läggas till. Detta gäller förutsatt att de andra avtalsvillkoren inte direkt eller indirekt står i strid med standardavtalsklausulerna.359 Normalt sett finns standardavtalsklausulerna i en bilaga till avtalet eller i ett separat dokument.360
Lämpliga skyddsåtgärder kan vidare ta formen av en godkänd uppförandekod enligt artikel 40 tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder.361 De kan slutligen även ta formen av en godkänd certifieringsmekanism enligt artikel 42 tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder.362
Avslutningsvis bör det noteras att kommissionsbeslut om standardavtalsklausuler som fattats med dataskyddsdirektivet som grund fortfarande gäller.363 Så är fallet så länge de inte ändras, ersätts eller upphävs av ett nytt kommissionsbeslut enligt artikel 46.2.
356 Öman, s. 481.
357 Artikel 46.2 b) och c). Se även Frydlinger, Edvardsson, Olstedt Carlström & Beyer, GDPR: Juridik, organisation och säkerhet enligt dataskyddsförordningen, s. 239 f., samt skäl 108 till förordningen.
358 Frydlinger m.fl., s. 242.
359 Skäl 109 till förordningen. Personuppgiftsansvariga och personuppgiftsbiträden uppmuntras uttryckligen att tillhandahålla ytterligare skyddsåtgärder.
360 Frydlinger m.fl., s. 243.
361 Artikel 46.2 e).
362 Artikel 46.2 f).
56
5.5 Bindande företagsbestämmelser
Bindande företagsbestämmelser är en av de lämpliga skyddsåtgärder som räknas upp i artikel 46, och de regleras i detalj i artikel 47. Bindande företagsbestämmelser om dataskydd är regler som kan användas inom en internationell koncern eller en internationell grupp av företag.364
Inom sådana koncerner och grupper har bindande interna regler kommit att få allt större praktisk betydelse eftersom de kan utgöra en tillräcklig garanti till skydd för de registrerades rättigheter.365 Bindande företagsbestämmelser kan användas om de inbegriper alla nödvändiga principer och bindande rättigheter som säkerställer lämpliga skyddsåtgärder för överföringar eller kategorier av överföringar av personuppgifter.366 Det handlar alltså om internt bindande dataskyddsregler som framför allt näringsidkare med verksamhet i flera länder tar fram som styrinstrument och som kan ligga till grund för en ansökan till en nationell tillsynsmyndighet om tillåtlighet i enskilda fall.367 Bindande företagsbestämmelser kräver dock omfattande arbete och det är en stor process att lägga ett sådant regelverk korrekt på plats i en stor organisation. Fördelen är att regelverket kan anpassas till de speciella förutsättningar och utmaningar som gäller för just den koncernen. En stor organisation kan därmed skapa sin egen dataskyddskultur.368
EDPB ska enligt artikel 70.1 utfärda riktlinjer, rekommendationer och bästa praxis för att ange mer specifika krav för överföringar av personuppgifter på grundval av bindande företagsbestämmelser samt ytterligare nödvändiga krav för att säkerställa skyddet för personuppgifter för berörda registrerade. Artikel 29-gruppen har gett ut arbetsdokument och rekommendationer om bindande företagsbestämmelser som EDPB ställt sig bakom.369
364 Öman, s. 485 samt Frydlinger m.fl., s. 240. Se artikel 4.20 för definitionen av bindande företagsbestämmelser, artikel 4.19 för definitionen av koncern samt artikel 4.18 för definitionen av företag. I dagsläget finns det totalt omkring 90 godkända bindande företagsbestämmelser, se Frydlinger m.fl., s. 241.
365 Magnusson Sjöberg, Dataskyddsförordningen, artikel 47, Lexino lagkommentar (JUNO), 2020-07-28.
366 Skäl 110 till förordningen.
367 Magnusson Sjöberg, Dataskyddsförordningen, artikel 47, Lexino lagkommentar (JUNO), 2020-07-28.
368 Frydlinger m.fl., s. 241.
57
Av artikel 47.1 framgår att det är den behöriga tillsynsmyndigheten som ska godkänna bindande företagsbestämmelser.370 Detta ska enligt artikel 63 ske med den s.k. mekanismen för enhetlighet. Artikel 47.2 klargör vad de bindande företagsbestämmelserna ska innehålla.
370 Observera att ett sådant beslut endast avser själva överföringen till tredjeland och inte om personuppgiftsbehandlingen är lagenlig i övrigt, se Magnusson Sjöberg, Dataskyddsförordningen, artikel 47, Lexino lagkommentar (JUNO), 2020-07-28.
58