Föreningsutveckling

Dataskyddsförordningen – GDPR En översikt

Lämpliga skyddsåtgärder

Bild: AdobeStock

 

Om det inte finns ett beslut från EU-kommissionen att ett land har en adekvat skyddsnivå, får överföring ändå ske till ett tredje land om den som behandlar personuppgifterna har vidtagit lämpliga skyddsåtgärder. Dessutom måste det finnas lagstadgade rättigheter och effektiva rättsmedel för registrerade, det vill säga möjligheter för den enskilde att få behandlingen prövad i domstol.

De skyddsåtgärder som avses innebär att överföringen ska grunda sig på ett rättsligt bindande och verkställbart instrument om överföringen sker mellan myndigheter, bindande företagsregler (så kallade Binding Corporate Rules, BCR:s) som godkänts av tillsynsmyndigheten eller standardiserade dataskyddsbestämmelser som godkänts av EU-kommissionen (eller som beslutats av en tillsynsmyndighet och därefter godkänts av EU-kommissionen). Överföringen kan också grunda sig på en godkänd uppförandekod eller en godkänd certifiering under förutsättning att dessa blir rättsligt bindande och verkställbara också gentemot mottagaren av uppgifterna.

De grunder för överföringen (BCR:s, standardiserade dataskyddsbestämmelser, med mera) som en organisation vill åberopa som lämpliga skyddsåtgärder och som anges här, ska ha antagits eller godkänts av EU-kommissionen eller av en tillsynsmyndighet. Det behövs däremot inget särskilt tillstånd av tillsynsmyndighet för varje överföring.

I dataskyddsförordningen finns detaljerade bestämmelser om vad bindande företagsregler, BCR:s, ska innehålla och hur tillsynsmyndighetens godkännande av dessa ska ske. Innan en tillsynsmyndighet godkänner BCR:s ska den begära ett yttrande från den Europeiska dataskyddsstyrelsen, där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.