Rutin för identifiering av personuppgiftsbehandling i tredje land

Bakgrund & Syfte

Privacy Shield är en mekanism för självcertifiering som finns i USA. Det innebär att företag i USA kan anmäla sig till det amerikanska handelsdepartementet (Department of Commerce) och meddela att de uppfyller de krav som ställs i Privacy Shield. Enligt ett beslut från EU-kommissionen har det varit tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare som har anslutit sig till Privacy Shield.

EU-domstolen dom i det så kallade Schrems II målet påverkar personuppgiftsansvariga inom hela EU. Överföring av personuppgifter till USA är inte längre möjligt med stöd av Privacy Shield. Domstolen ansåg däremot att Kommissionens beslut om standardavtalsklausuler är giltigt och att sådana kan användas vid överföring till länder utanför EU och EES men att det kan behövas ytterligare skyddsåtgärder.

Domen medför konsekvenser och kräver åtgärder för att personuppgiftsansvariga inte ska riskera att bryta mot dataskyddsförordningen. Enligt Datainspektionens rekommendationerlänk till annan webbplats ska en inventering av tredjelandsöverföring genomföras. Denna rutin ämnar att förenkla och förtydliga processen för inventering av tredjelandsöverföring.

Ansvar

Personuppgiftsansvariga ansvarar för att dataskyddsförordningen efterlevs i deras organisation. I kommunerna är nämnderna personuppgiftsansvariga. Varje nämnd representeras av ett Kontaktombud. Därmed ska respektive Kontaktombud se till att Dataskyddsförordningen efterlevs i sin förvaltning. Det sagt, kan Kontaktombudet delegera inventeringsuppgiften fritt inom sin förvaltning för att kunna identifiera alla behandlingar.

Frekvens

Rutinen kan användas vid behov av identifiering av tredjelandsöverföring.

Utförande

Europeiska Dataskyddsstyrelsen (EDPB) fastslår att det inte bara är själva lagringsplatsen som är avgörande om tredjelandsöverföring sker. Det är inte bara när uppgifter faktiskt flyttas till tredjeland och lagras där som reglerna om tredjelandsöverföringar blir aktuella, utan även när någon ges tillgång (åtkomst vid service/underhåll/felsökning) från tredjeland.

I utförandet av denna rutin ska följande frågor besvaras:

  • Använder ni några molnbaserade tjänster i idag? Om ja, vilka?
    • Namn på tjänsteleverantör?
    • Tjänsteleverantörens juridiska hemvist (land)?
    • Namn på molntjänst?
    • Versionsnummer (om tillämpligt)?
  • Använder ni direkt eller via er tjänsteleverantör några underleverantörer?
    • Namn på underleverantör?
    • Underleverantörers tjänst?
    • Underleverantörens juridiska hemvist (land)?
  • Privacy Shield är upphävd, på vilken grund sker eventuell överföring av personuppgifter till USA?

Privacy Shield var inte den enda tillämpliga grunden. Andra grunder kan exempelvis vara:

  • Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
  • Ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).

Dokumentation

All dokumentation över personuppgiftsbehandlingar i tredje land ska, precis som all annan information om personuppgiftsbehandling, dokumenteras i respektive kommuns centrala register över personuppgiftsbehandlingar.