Vad gäller om vi i ett biträdesavtal godkänt att de får anlita underbiträden som har server utanför EU/EES?

Vi har i ett personuppgiftsbiträdesavtal godkänt att biträdena får anlita underbiträden som har server utanför EU/EES om de uppfyller de krav som ställs i GDPR. Innebär det att vi måste informera medlemmarna att vi avser lämna ut deras uppgifter till tredje land?

Den registrerades personuppgifter kan komma att föras över till ett land utanför EU/EES, så ja, ni måste informera medlemmarna om det. Ni behöver till och med ange till vilket land.

Tänk på att ni också måste informera om vilken grund ni har för överförandet (t.ex. ett kommissionsbeslut om adekvat skyddsnivå, bindande företagsbestämmelser, godkända standardavtalsklausuler etc). Det räcker inte att räkna upp olika grunder som finns i förordningen. Ni ska också tillhandahålla eller hänvisa till relevanta dokument, till exempel genom en länk (dvs. till det dokument ni anger som grund för överföringen).

Kort och gott är det kanske inte så bra att ge biträdet fria tyglar att överföra uppgifter till tredje land (eller att låta dem låta underbiträden göra det), eftersom det medför att ni får svårt att leva upp till kraven på er som personuppgiftsansvarig.