meny

Överföring till tredje land

Överföring av personuppgifter till tredje land är när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES-området.

Behandlar ni personuppgifter som någon utanför EU/EES har tillgång till? Använder ni er av tjänsteleverantörer utanför EU/EES? Kanske lagrar ni personuppgifter i en molntjänst? I dataskyddsförordningen kallas det här för att överföra personuppgifter till tredje land. Det är tillåtet i vissa fall, men reglerna är strikta.

Exempel på överföring av personuppgifter till tredje land:

  • När ni skickar dokument som innehåller personuppgifter per e-post till någon i ett land utanför EU/EES.
  • När ni anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
  • När ni ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
  • När ni lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
  • När ni lagrar personuppgifter, till exempel på en server, i ett land utanför EU/EES.

Obs! Att publicera något på internet är inte tredjelandsöverföring om webbplatsen lagras hos en internetleverantör som är etablerad inom EU/EES.

Överföring av personuppgifter till Storbritannien efter Brexit

Nytt provisoriskt avtal mellan EU-kommissionen och Storbritannien

Den 24 december 2020 kom EU-kommissionen och Storbritannien överens om ett avtal för att reglera förhållandet dem emellan från den 1 januari 2021. I och med Storbritanniens utträde ur EU är de, från den 1 januari 2021, att betrakta som ett tredje land i dataskyddsförordningens mening. Överföring av personuppgifter till tredje land får endast ske om det är förenligt med bestämmelserna i kapitel V (artikel 44-50) i förordningen. Det avtal som nu träffats innebär att personuppgifter fortfarande fritt kan överföras från medlemsstater i EU till Storbritannien under en begränsad tid, fram till den 30 juni 2021, utan att kraven i kapitel V måste vara uppfyllda. Avtalet utgör inte något sådant beslut om adekvansnivå som avses i artikel 45 i dataskyddsförordningen. Det är istället en tillfällig lösning i avvaktan på ett eventuellt beslut om en adekvat skyddsnivå i Storbritannien. 

Läs mer om det tillfälliga avtalet här

Läs frågor och svar från EU-kommissionen om avtalet 

Yttranden från EDPB 13 april 2021 om kommissionens adekvansbeslut

EDPB har publicerat närmare information om Brexit och dess effekter från och med den 1 januari 2021. 

EDPB:s yttrande över Brexit och övergångsperiodens slut 
EDPB:s information om överföringar till Storbritannien efter övergångsperiodens slut 

Mer information 

Om Brexit från Integritetsskyddsmyndighetens motsvarighet i Storbritannien ICO:

Varför behövs särskilda regler för överföring utanför EU/EES?

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar.

Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES.

När är överföring utanför EU/EES tillåten?

Under vissa förutsättningar är det tillåtet att överföra personuppgifter utanför EU/EES:

  • Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
  • Ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
  • Särskilda situationer och enstaka fall.

Mer information

EDPB:s riktlinjer om undantag enligt artikel 49

Rättsinformation

Artikel 44–50
Skäl 101–116 och 169