I veckan fattade EU beslut om att UK säkerställer adekvat skyddsnivå, vilket innebär att en personuppgiftsansvarig kan överföra personuppgifter till Storbritannien, utan särskilt tillstånd. Tidigare i juni fattade EU även beslut om att anta nya standardavtalsklausuler för tredjelandsöverföring, som kan användas istället för personuppgiftsbiträdesavtal.

Överföring av personuppgifter till tredje land är när personuppgifter blir tillgängligt för någon utanför EU/EES. Exempel på överföring av personuppgifter till tredje land är:
• När man skickar dokument som innehåller personuppgifter per e-post till någon i ett land utanför EU/EES.
• När man anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
• När man ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
• När man lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
• När man lagrar personuppgifter, till exempel på en server, i ett land utanför EU/EES.

Genom GDPR har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES.

Under vissa förutsättningar är det tillåtet att överföra personuppgifter utanför EU/EES:
• Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
• Man har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
• Särskilda situationer och enstaka fall.

Den 28 juni 2021 fattade EU-kommissionen två beslut om adekvat skyddsnivå för överföring av personuppgifter till Storbritannien enligt GDPR respektive brottsdatadirektivet (LED). Besluten innebär att Storbritannien har en tillräckligt hög skyddsnivå och att personuppgifter får föras över dit utan något särskilt tillstånd.

Vad gäller överföring av personuppgifter till exempelvis USA får man använda sig av standardavtalsklausuler. Den 4 juni 2021 publicerade EU-kommissionen nya standardavtalsklausuler (SCCs) för överföring av personuppgifter till tredje land, det vill säga som kan användas för att vidta lämpliga skyddsåtgärder enligt artikel 46.2(c) GDPR.

Dessa nya standardavtalsklausuler ersätter de klausuler som EU-kommissionen tidigare fattat beslut om enligt dataskyddsdirektivet (med en övergångsperiod fram till den 27 december 2022, för avtal som ingåtts före den 27 september 2021) och kan användas när uppgifter överförs från en exportör som omfattas av GDPR (enligt artikel 3) till en importör som inte omfattas av GDPR.

De nya standardavtalsklausulerna täcker fler överföringssituationer än tidigare, nämligen från (i) personuppgiftsansvarig till personuppgiftsansvarig, (ii) personuppgiftsansvarig till personuppgiftsbiträde, (iii) personuppgiftsbiträde till personuppgiftsbiträde och (iv) personuppgiftsbiträde till personuppgiftsansvarig.

I dessa standardavtalsklausuler har också kraven i artikel 28.3 GDPR integrerats, vilket innebär att parterna inte längre behöver ingå något separat personuppgiftsbiträdesavtal. Enligt de nya standardavtalsklausulerna är det även möjligt för flera parter att ansluta sig till samma avtal.

Standardavtalsklausulerna hittas här:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en