Överföring till tredje land
Överföring av personuppgifter till tredje land är när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES-området.
Behandlar ni personuppgifter som någon utanför EU/EES har tillgång till? Använder ni er av tjänsteleverantörer utanför EU/EES? Kanske lagrar ni personuppgifter i en molntjänst? I dataskyddsförordningen kallas det här för att överföra personuppgifter till tredje land. Det är tillåtet i vissa fall, men reglerna är strikta.
Exempel på överföring av personuppgifter till tredje land:
- När ni skickar dokument som innehåller personuppgifter per e-post till någon i ett land utanför EU/EES.
- När ni anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
- När ni ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
- När ni lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
- När ni lagrar personuppgifter, till exempel på en server, i ett land utanför EU/EES.
Obs! Att publicera något på internet är inte tredjelandsöverföring om webbplatsen lagras hos en internetleverantör som är etablerad inom EU/EES.
Överföring av personuppgifter till Storbritannien efter Brexit
Nytt provisoriskt avtal mellan EU-kommissionen och Storbritannien
Den 24 december 2020 kom EU-kommissionen och Storbritannien överens om ett avtal för att reglera förhållandet dem emellan från den 1 januari 2021. I och med Storbritanniens utträde ur EU är de, från den 1 januari 2021, att betrakta som ett tredje land i dataskyddsförordningens mening. Överföring av personuppgifter till tredje land får endast ske om det är förenligt med bestämmelserna i kapitel V (artikel 44-50) i förordningen. Det avtal som nu träffats innebär att personuppgifter fortfarande fritt kan överföras från medlemsstater i EU till Storbritannien under en begränsad tid, fram till den 30 juni 2021, utan att kraven i kapitel V måste vara uppfyllda. Avtalet utgör inte något sådant beslut om adekvansnivå som avses i artikel 45 i dataskyddsförordningen. Det är istället en tillfällig lösning i avvaktan på ett eventuellt beslut om en adekvat skyddsnivå i Storbritannien.
Läs mer om det tillfälliga avtalet här
Läs frågor och svar från EU-kommissionen om avtalet
Yttranden från EDPB 13 april 2021 om kommissionens adekvansbeslut
EDPB har publicerat närmare information om Brexit och dess effekter från och med den 1 januari 2021.
EDPB:s yttrande över Brexit och övergångsperiodens slut
EDPB:s information om överföringar till Storbritannien efter övergångsperiodens slut
Mer information
Om Brexit från Integritetsskyddsmyndighetens motsvarighet i Storbritannien ICO:
Varför behövs särskilda regler för överföring utanför EU/EES?
Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar.
Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES.
När är överföring utanför EU/EES tillåten?
Under vissa förutsättningar är det tillåtet att överföra personuppgifter utanför EU/EES:
- Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
- Ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
- Särskilda situationer och enstaka fall.
Mer information
EDPB:s riktlinjer om undantag enligt artikel 49
Rättsinformation
Artikel 44–50
Skäl 101–116 och 169