Tredjelandsöverföring och Tetra Paks bindande företagsbestämmelser
Dataskyddsförordningen gäller för alla EU:s medlemsstater och syftar till att ge ett gemensamt skydd för personuppgifter och integritet.
Mot bakgrund av att alla medlemsstater tillämpar data-skyddsregleringen kan personuppgifter fritt överföras mellan medlemsstaterna utan begränsning-ar, eftersom det kan förutsättas att samma skydd gäller och att alla aktörer i medlemsstaterna beaktar integritet och följer samma regler kring personuppgiftsbehandling. I länder utanför EU/ESS gäller inte samma skydd och det finns ingen garanti för att det finns ett fullgott skydd för personuppgifter i alla länder som inte tillhör EU/ESS. Länder utanför EU/ESS som inte omfattas av dataskyddsförordningen, benämns tredje land och dataskyddsförordningen innehåller bestämmelser om förutsättningar för att få överföra personuppgifter till ett tredje land.
Överföring till tredje land kan vara när det från ett företag eller en organisation i EU/ESS skickas e-post eller liknande innehållandes personuppgifter till land utanför EU/ESS. Det kan även vara att företaget eller organisationen anlitar ett företag i tredje land som personuppgiftsbi-träde eller att personuppgifter lagras i en molntjänst eller server som är baserad utanför EU/ESS. Även att föra över uppgifter inom en organisation men till del av organisationen som finns i tredje land är en tredjelandsöverföring.
Tredjelandsöverföring är enbart tillåten om det finns ett beslut ifrån EU-kommissionen enligt vilket landet i fråga uppfyller kraven för adekvat skyddsnivå, om en bedömning har företagits i det enskilda fallet och de omfattande kraven enligt förordningen uppfylls eller om företaget eller organisationen som vill företa tredjelandsöverföringar har vidtagit skyddsåtgärder, t ex i form av instrument såsom bindande företagsbestämmelser. Tetra Pak är första koncernen att få godkänt av Datainspektionen enligt dataskyddsförordningen vad gäller sina företagsbestämmelser. För att få använda sig av instrumentet bindande företagsbestämmelser är ett godkännande ifrån europe-isk dataskyddsmyndighet en förutsättning.
För att de bindande företagsbestämmelserna ska god-kännas krävs bland annat att alla företag i koncernen är bundna av bestämmelserna och att det ställs upp bestämmelser om de registrerades rättigheter vid behandling av personuppgifter som följer de bestämmelser vi har att rätta oss efter. Kort sagt är det av vikt att stämma av hur flödet ser ut inom och ut från bolaget vad gäller personuppgifter då hanteringen träffar de allra flesta bolagen.
Tidigare publicerat i Affärsstaden 8 – 2020
Jessica Tornberg
Biträdande jurist
Maminza Advokatbyrå AB
