EY syftar på den globala organisationen och kan referera till ett eller flera av medlemsföretagen till Ernst & Young Global Limited som vart och ett är en separat juridisk enhet. Ernst & Young Global Limited, ett bolag registrerat i Storbritannien, tillhandahåller inte tjänster till kunder.
Senaste sökningarna
Europeiska dataskyddsstyrelsen (EDPB) antog den 4 juni nya riktlinjer gällande överföringar av personuppgifter till tredjeländer.
Riktlinjerna (Riktlinjer 02/2024 för Artikel 48 GDPR) klargör hur privata verksamheter inom EU på bästa sätt bedömer under vilka förutsättningar en överföring av efterfrågade personuppgifter till myndigheter i tredjeländer är laglig. Riktlinjerna avser att förtydliga målen med Artikel 48 GDPR och hur artikeln förhåller sig till Kapitel V GDPR samt ge rekommendationer till personuppgiftsansvariga och personuppgiftsbiträden kring avslöjande eller överföring av personuppgifter på begäran av myndigheter i tredje land. Genom riktlinjerna ändrar inte EDPB sin ståndpunkt, men förtydligar sin inställning rörande vissa situationer.
Riktlinjerna omfattar överföringar av personuppgifter som sker vid en förfrågan kommande från en myndighet i ett tredjeland gentemot en privat verksamhet i EU. Sådana förfrågningar kan komma från alla typer av offentliga myndigheter, inklusive de som övervakar den privata sektorn, såsom bankregleringsmyndigheter och skattemyndigheter. Många privata verksamheter inom EU berörs av dessa riktlinjer, exempelvis företag som bedriver framtagning av läkemedel och medicinsk utrustning. En förfrågan kan komma från myndigheter i tredjeländer vilka är ansvariga för godkännandet av sådana produkter.
Utgångspunkten är enligt EDPB att Artikel 48 GDPR ska tolkas på så sätt att ett beslut om överföring av personuppgifter till myndighet, ska enligt huvudregeln genomföras om ett internationellt avtal (innehållande ett beslut som påvisar en adekvat skyddsnivå) föreligger mellan EU och tredjeland. En förfrågan från myndighet i tredjeland (Artikel 48 GDPR) utgör i sig själv inte en laglig grund för behandling eller överföring av personuppgifter.
När ett internationellt avtal inte finns krävs att det påvisas av den personuppgiftsansvarige att det finns en laglig grund (i Artikel 6 GDPR) för behandling och ytterligare en grund för överföring av personuppgifter (i Kapitel V GDPR). När ett internationellt avtal finns, innehållande laglig grund i enlighet med Artikel 6 GDPR, men det kan påvisas en brist på lämpliga skyddsåtgärder (Artikel 46(2)(a) GDPR) krävs en annan grund för överföringen av personuppgifter i Kapitel V GDPR. Det är dock endast tillämpbart i specifika undantagsfall och kan skilja sig åt från fall till fall.
För att avgöra om överföring och behandling av personuppgifter till myndigheter i tredjeland är laglig kan följande ’Två-stegs-test’ genomföras:
- Finns det en applicerbar laglig grund för behandling av personuppgifterna i Artikel 6 GDPR?
- Är behandlingen i enlighet med en laglig grund för överföring av personuppgifterna till tredjeländer i Kapitel V GDPR?
Utöver att behandlingen måste uppfylla vad som presenteras ovan och i två-stegs-testet ska behandling av personuppgifterna även vara i enlighet med de övriga generella principerna för behandling av personuppgifter i Artikel 5 GDPR för att vara laglig.
Att förhålla sig till GDPR och dess regelverk är viktigt eftersom bristande efterlevnad kan komma att medföra höga sanktioner.
EY Law hjälper företag med juridiska frågor och utmaningar kopplade till dataskydd och regelefterlevnad. Tveka inte att höra av er till oss vid frågor eller funderingar.
Författare:
- Anna Byström, Partner, +46 73 441 71 59
- Ellen Fahlander, Associate, +46 70 450 69 56
- Olivia Kjelkvik, Intern
Summering
EY Law skriver regelbundet artiklar om regulatorisk och digital juridik. Prenumerera på vårt nyhetsbrev för att få relevant information om de senaste uppdateringarna inom områden såsom dataskydd, AI, ESG, bank och finans, e-handel med mera. Registrera dig via följande LÄNK.