Europeiska dataskyddsstyrelsen (EDPB) har publicerat vägledning gällande tredjeland-överföringar. Syftet är att hjälpa personuppgiftsansvariga och personuppgiftsbiträden i EU att avgöra om en behandling utgör en internationell överföring enligt GDPR.
EDPB klargör att en internationell överföring äger rum både när en exportör skickar uppgifterna eller när uppgifterna bara görs tillgängliga för åtkomst till någon i ett tredjeland. Riktlinjerna innehåller sju exempelsituationer. Ett av exemplen är när ett företag skickar en anställd på tjänsteresa till ett tredje land och den anställde ansluter sig på distans till företagets nätverk. Eftersom informationen juridiskt sett skickas internt inom samma företag och inte till en annan personuppgiftsansvarig eller personuppgiftsbiträde är det inte fråga om en internationell överföring. Datadelning mellan företag i samma koncern (moderbolag och dotterbolag) som är separata personuppgiftsansvariga eller personuppgiftsbiträden kan dock enligt vägledningen utgöra en internationell överföring. EDPB menar att man bör anpassa skyddsåtgärderna till situationen. Skyddsåtgärderna ska snarare fylla de luckor som finns på grund av kolliderande nationella lagar och rätten till tillgång för myndigheterna i tredjelandet. Verktygen ska alltså enligt EDPB behandla de åtgärder som ska vidtas vid lagkonflikter mellan lagstiftningen i tredjeland och GDPR samt för att möta rättsligt bindande krav från utländska myndigheter om att lämna ut personuppgifter.
Källa: DP Forum News
