meny

Överföring till tredje land

När personuppgifter blir tillgängliga utanför EU/EES.

Behandlar ni personuppgifter som någon utanför EU har tillgång till? Använder ni er av tjänsteleverantörer utanför EU? Kanske lagrar ni personuppgifter i en molntjänst? I dataskyddsförordningen kallas det här för att överföra personuppgifter till tredje land. Det är tillåtet i vissa fall, men reglerna är strikta.

Överföring av personuppgifter till Storbritannien efter Brexit

Nytt provisoriskt avtal mellan EU-kommissionen och Storbritannien

Den 24 december 2020 kom EU-kommissionen och Storbritannien överens om ett avtal för att reglera förhållandet dem emellan från den 1 januari 2021. I och med Storbritanniens utträde ur EU är de, från den 1 januari 2021, att betrakta som ett tredje land i dataskyddsförordningens mening. Överföring av personuppgifter till tredje land får endast ske om det är förenligt med bestämmelserna i kapitel V (artikel 44-50) i förordningen. Det avtal som nu träffats innebär att personuppgifter fortfarande fritt kan överföras från medlemsstater i EU till Storbritannien under en begränsad tid, fram till den 30 juni 2021, utan att kraven i kapitel V måste vara uppfyllda. Avtalet utgör inte något sådant beslut om adekvansnivå som avses i artikel 45 i dataskyddsförordningen. Det är istället en tillfällig lösning i avvaktan på ett eventuellt beslut om en adekvat skyddsnivå i Storbritannien. 

Läs mer om det tillfälliga avtalet här

Läs frågor och svar från EU-kommissionen om avtalet 

EDPB har tidigare publicerat närmare information om Brexit och dess effekter från och med den 1 januari 2021. 

EDPB:s yttrande över Brexit och övergångsperiodens slut 
EDPB:s information om överföringar till Storbritannien efter övergångsperiodens slut 

Mer information 

Om Brexit från Integritetsskyddsmyndighetens motsvarighet i Storbritannien ICO:

Varför behövs särskilda regler för överföring utanför EU/EES?

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar.

Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES.

När är överföring utanför EU/EES tillåten?

Under vissa förutsättningar är det tillåtet att överföra personuppgifter utanför EU/EES:

  • Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
  • Ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
  • Särskilda situationer och enstaka fall.

Mer information

EDPB:s riktlinjer om undantag enligt artikel 49

Rättsinformation

Artikel 44–50
Skäl 101–116 och 169