Vad utgör – och vad utgör inte – en överföring av personuppgifter till tredjeland? Europeiska dataskyddsstyrelsen EDPB har nu antagit en ny riktlinje om vad som gäller.

Det framgår av ett pressmeddelande från Integritetsskyddsmyndigheten, IMY, som lett arbetet med riktlinjen.

Denna går under det något krångliga namnet ”Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR” och går att ta del av på EDPBs webbplats.

Petra Lennhede, jurist på IMY säger i en kommentar:

– Det är en efterlängtad riktlinje. Om ett dataflöde klassas som en överföring till tredjeland så måste reglerna i Kapitel V i dataskyddsförordningen tillämpas, vilket betyder att överföringen bara får ske under vissa förutsättningar. Det har länge funnits oklarheter kring vad som egentligen räknas som en överföring till tredjeland, som nu blir tydligare.

Ett exempel som Integritetskyddsmyndigheten tar upp i pressmeddelandet, där det tidigare funnits oklarheter, men nu mer tydlighet, är följande scenario:

Det räknas inte som en överföring till tredje land om en anställd åker på tjänsteresa till ett land utanför EU med sin bärbara dator och får tillgång till och arbetar med personuppgifter som finns i arbetsgivarens databas.

Detta eftersom den anställde inte är en egen personuppgiftsansvarig eller personuppgiftsbiträde, utan endast utgör en del av sin arbetsgivare i EU.

– Det innebär dock inte per automatik att behandlingen är tillåten. Den personuppgiftsansvariga måste följa GDPR och göra en bedömning av eventuella risker och kan då trots allt komma fram till att den aktuella behandlingen inte är tillåten på grund av för höga risker, tillägger Petra Lennhede.

Den här nya riktlinjen är nu ute på publik konsultation till den 31 januari 2022.