Striktare regler om personuppgifter förs till tredje land

Enligt GDPR, är det striktare regler om personuppgifter förs till tredje land än till ett EU/EES land. Tredje land innebär länder utanför EU eller EES, där GDPR inte gäller. Med andra ord är det tillåtet att överföra personuppgifter till tredje land, men det är mycket striktare regler som gäller då. Det finns flera vanliga tillfällen där personuppgifter blir behandlade utanför EU/EES. När en person utväxlar mejl med en person som befinner sig på en annan kontinent, till exempel Asien eller Nordamerika, blir personuppgifter överförda. Detsamma gäller om ett företag inom EU anlitar ett företag i tredje land, som därigenom får tillgång till personuppgifter som tillhör personuppgifter som är bosatta inom EU.

Striktare regler om personuppgifter förs över till tredje land  

Om ett företag använder ett CRM-system eller annat system för att lagra personuppgifter om sina kunder, är det bra att känna till vart den informationen blir lagrad. Det vill säga, vart företaget som tillhandahåller systemet har sina servrar. I många fall kan det vara så att ett företag som inte befinner sig inom EU/EES där GDPR gäller, inte uppfyller de säkerhetskrav som regelverket ställer. Detta är något som ett företag därför bör ta reda på, innan överföring av personuppgifterna sker. 

Om personuppgifter blir överförda till en aktör i tredje land, måste parterna enligt GDPR ingå ett så kallat personuppgiftsbiträdesavtal. Alternativt kan företagen ingå standardavtalsklausuler (SCC) som EU-kommissionen har tagit fram för ändamålet. Idag är det inte heller möjligt att dela personuppgifter till USA med stöd i det så kallade Privacy Shield avtalet mellan EU och USA, eftersom det har blivit ogiltigförklarat av EU-domstolen den 16 juli 2020. Mer information om detta finns att läsa i den så kallade Shrems II-domen.

Företag ska ha en rättslig grund för att behandla personuppgifter. Därefter ska personuppgifterna bli raderade när de inte längre är nödvändiga för det syfte det blev inhämtade för från början. Det finns sex (6) rättsliga grunder i GDPR, även kallad för dataskyddsförordningen. Samtycke, avtal, rättslig förpliktelse, myndighetsutövning, intresseavvägning och grundläggande intresse är de rättsliga grunderna och dessutom måste företag följa dataskyddssprinciperna. 

Mer information

Här kan du läsa mer om:

Principer för färgval och färggestaltning.

Riskövergång vid platsköp och distansköp.

Reformera och uppdatera avtalslagen.

Inhämta samtycke från anställd som arbetsgivare.

Skribent: Företagsforumet.

Fler inlägg om juridik

Forumet kan du som medlem ställa frågor, kommentera och diskutera företagande med andra medlemmar. Forumet är en digital plattform där medlemmar kan lära sig av varandra och dela med sig av erfarenheter.

Besök Forumet – klicka här!

Dela detta inlägg: