GDPR artikel 49 undantag tillämpliga på internationella överföringar

Undantagen i Artikel 49
Undantagen i Artikel 49

Bortsett från standardavtalsklausuler som rättslig grund för överföring av uppgifter till länder utanför EU/EES, finns det undantag som är tillämpliga på internationella överföringar. Det finns totalt nio undantag som kan vara en möjlighet iom Schrems II domens striktare krav vid internationella leveranskedjor. Denna sammanfattning kommer att gå igenom undantagen för att se till att din organisation får en överblick. Lästid: 3 minuter

Undantag från den allmänna principen

Artikel 49 ger undantag från den allmänna principen. I den allmänna principen anges att personuppgifter endast får överföras till tredjeländer om en adekvat skyddsnivå föreskrivs i tredjelandet eller om lämpliga skyddsåtgärder har gjorts och de registrerade åtnjuter verkställbara och effektiva rättigheter för att även fortsättningsvis kunna dra nytta av sina grundläggande rättigheter och skyddsmekanismer. Om det inte fattas något beslut om adekvat skydd eller av lämpliga skyddsåtgärder enligt inräknade bindande företagsbestämmelser, ska en överföring eller en uppsättning överföringar av personuppgifter till ett tredjeland eller en internationell organisation ske endast på något av följande villkor:

Dataexportören och dataimportören ansvarar för att överföringen överensstämmer med GDPR. När undantagen enligt artikel 49 bedöms är det viktigt att göra en bedömning från fall till fall. I artikel 49 anges vidare normer för vad som anses vara “nödvändigt” och “sällan” av den överföring som måste vara överlagd.

Samtycke

Den första grunden i artikel 49 undantag är samtycke. För samtycke ska kunna tillämpas behöver du se till att den registrerade uttryckligen har samtyckt till den föreslagna överföringen. Du behöver också informera den registrerade om eventuella risker med sådana överföringar för den registrerade. Detta inkluderar information om riskerna på grund av att ett beslut om adekvat skydd och lämpliga skyddsåtgärder saknas. Sammanfattningsvis är denna grund tung i kraven på dataexportören eftersom “samtycke” i betydelsen av artikel 49 skiljer sig från standardsamtycket i GDPR. Till exempel; om du har samlat in uppgifter vid ett tillfälle med original samtycke kan du inte överföra dem till ett tredjeland utan ett nytt informerat och specifikt samtycke. Om tidsintervallet inte är så långt kan det räcka med enbart information om överföringen till den registrerade.

Dessa höga fastställda normer för ett giltigt samtycke enligt artikel 49 gör att användningen av undantaget begränsas. Tillsammans med det faktum att ett samtycke kan återkallas när som helst är denna grund inte den lämpligaste om man strävar efter en långsiktig lösning för överföringar till tredjeländer.

Advertisement

Sharp Cookie Advisors

Scouting och analys av techbolag


Nödvändighet för att fullgöra ett avtal

Den andra grunden riktar in sig på den överföring som är nödvändig för fullgörandet av ett avtal mellan den registrerade och den personuppgiftsansvarige. Det riktar också överföring som är nödvändig för genomförandet av åtgärder före avtal som vidtas på den registrerades begäran. Nyckelorden för detta undantag är “gjorda för de registrerades intressen”, “enstaka” och “nödvändiga”. “Nödvändighetsprövningen” begränsar antalet fall som gäller för detta undantag. Det kräver en nära och meningsfull korrelation mellan överföringen och kontraktets föremål.

Den “tillfälliga” prövningen begränsar ytterligare användningen av detta undantag. Denna bedömning måste göras från fall till fall. Överföringen bör inte ske upprepat eller systematiskt. Överföringen från en bank i EU/EES till en annan bank i ett tredjeland kan exempelvis vara laglig enligt artikel 49 om den är tillfällig och nödvändig för det aktuella avtalet. Om överföringen däremot ingår i ett långsiktigt partnerskap mellan bankerna är detta undantag inte tillämpligt.

Den tredje grunden i artikel 49 liknar den andra. Det som skiljer de två åt är avtalsförhållandet. Detta undantag riktar sig mot den överföring som personuppgiftsansvarig och en annan person eller ett annat företag utanför EU/EES för att föra in eller fullgöra ett avtal i den registrerades intresse. Samma krav, som anges ovan, gäller även detta undantag.

Viktigt allmänintresse

Den tredje grunden gör ett undantag för överföringar som är nödvändiga för ett viktigt allmänintresse. Endast allmänna intressen som erkänns i unionslagstiftningen eller i lagstiftningen i den medlemsstat som personuppgiftsansvarig av kan leda till att detta undantag tillämpas. Det räcker inte heller med att den typ av organisation som överför och/eller tar emot uppgifter är ett viktigt allmänintresse; själva överföringen behöver vara nödvändig för detta intresse. Testet om överföringen kan anses tillfällig begränsar inte denna grund som med många av de andra undantagen. Därför är denna grund mer lämplig för långsiktiga avtal om överföring av personuppgifter.

Det fjärde undantaget gäller för initiering av, utövande eller försvar av rättsliga anspråk. Överföringen måste vara nödvändig för den aktuella frågan och måste vara tillfällig.

Femte undantaget gäller när du överför data i händelse av en medicinsk nödsituation.

Register

Överföring av personuppgifter från register till ett land utanför EU/EES kan tillåtas på vissa villkor. Registret måste antingen lämna information till allmänheten eller varje person som kan visa ett berättigat intresse. Det kan till exempel vara bolagsregister, register över föreningar, register över domar i brottmål, titelregister eller offentliga fordonsregister. Detta undantag har inte, liksom många av de tidigare, begränsningen som för “tillfällig”. Registret kan vara både i skriftlig och/eller elektronisk form.

Tvingande berättigade intressen

Den här grunden är det sista undantaget. För användningen av detta undantag, måste du gå igenom och avfärda allt ovanstående. Dataexportören måste kunna visa att det varken var möjligt eller lämpligt att använda andra grunder. Personuppgifter kan överföras enligt detta undantag om det är nödvändigt för tvingande berättigade intressen som dataexportören eftersträvar.

Sammanfattningsvis

Mot bakgrund av EU domstolens dom i Schrems ll målet begränsar domstolen användningen av Europeiska Kommissionens Standardklauser (SCC) för överföringar till tredje land. För att fortfarande kunna överföra data till länder utanför EU/EES kan undantagen i artikel 49 vara ett alternativ.

LEAVE A REPLY

Please enter your comment!
Please enter your name here