Riktlinjer om vad som utgör överföring till tredjeland
Den europeiska dataskyddsstyrelsen (EDPB) har antagit nya riktlinjer som förtydligar vad som utgör överföring av personuppgifter utanför EU/EES. Tidigare har det funnits oklarheter kring vad som egentligen räknas som en överföring och inte, en bedömning som får stor betydelse för om reglerna i kapitel V i GDPR behöver tillämpas eller inte. Riktlinjerna är fram till och med den 31 januari 2022 ute på publik konsultation, vilket innebär att det kan komma att göras vissa ändringar.
EDPB:s definition utgörs av tre kumulativa delar:
1. Behandlingen utförs av ansvarig eller biträde som omfattas av GDPR;
2. denne avslöjar, genom överföring eller tillgängliggörande, personuppgifter för en annan ansvarig, gemensamt ansvarig eller biträde; och
3. mottagaren finns i ett tredje land eller är en internationell organisation, oavsett om denne omfattas av GDPR eller ej.
I riktlinjerna exemplifieras också ett antal olika fall. För det första är det är till exempel fråga om en överföring när ett EU-biträde, som fått personuppgifter från en tredjelandsansvarig, skickar tillbaka personuppgifterna till den ansvarige - även om den ansvarige själv omfattas av GDPR (till exempel för att behandlingen utförs med anknytning till försäljning av varor eller tjänster till personer inom EU). För det andra utgör det inte en överföring när en person som är anställd hos en EU-ansvarig reser utomlands och får direktåtkomst till personuppgifter från ett tredje land, eftersom den anställde inte är en annan ansvarig eller biträde och personuppgifter därmed bara delas inom samma organisation (se del 2 i definitionen). Slutligen utgör det inte heller en överföring när en tredjelandsmottagare får del av uppgifter direkt från en registrerad inom EU, eftersom den registrerade inte är en ansvarig eller ett biträde (se del 1 i definitionen).