Överföring till tredjeland
Behandlar ni personuppgifter som någon utanför EU/EES har tillgång till? Använder ni er av tjänsteleverantörer utanför EU/EES? Kanske lagrar ni personuppgifter i en molntjänst? I dataskyddsförordningen kallas det här för att överföra personuppgifter till tredjeland. Sådana överföringar är endast tillåtna under vissa förutsättningar.
Exempel på överföring av personuppgifter till tredjeland kan vara:
- När ni skickar dokument som innehåller personuppgifter per e-post till en mottagare i ett land utanför EU/EES.
- När ni anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
- När ni ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
- När ni lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
Obs! Att publicera något på internet är inte tredjelandsöverföring om webbplatsen lagras hos en internetleverantör som är etablerad inom EU/EES.
EDPB har antagit riktlinjer 05/2021 om samspelet mellan artikel 3 (territoriellt tillämpningsområde) och kapitel V (tredjelandsöverföringar) i dataskyddsförordningen som bland annat innehåller en definition av begreppet ”överföring”. Dessa riktlinjer har varit ute på publik konsultation och ses nu över inför ett slutligt antagande.
Varför behövs särskilda regler för överföring utanför EU/EES?
Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar.
Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES.
När är överföring utanför EU/EES tillåten?
Under vissa förutsättningar är det tillåtet att överföra personuppgifter utanför EU/EES:
- Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
- Ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
- Särskilda situationer och enstaka fall.
Om skyddsnivån i mottagarlandet inte är tillräcklig kan ni behöva vidta ytterligare skyddsåtgärder utöver till exempel standardavtalsklausuler. I vissa fall kan inga skyddsåtgärder kompensera för bristerna och göra överföringen tillåten. I sådana fall behöver ni avstå ifrån eller avbryta överföringen. Europeiska dataskyddsstyrelsen (EDPB) har antagit rekommendationer om när ytterligare skyddsåtgärder kan behövas och vad sådana åtgärder kan vara.
Mer information
Fördjupa dig- EDPB:s riktlinjer om undantag enligt artikel 49
- EDPB:s rekommendationer 01/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls
- EDPB:s riktlinjer 05/2021 om samspelet mellan artikel 3 (territoriellt tillämpningsområde) och kapitel V (tredjelandsöverföringar) i dataskyddsförordningen (obs, ej slutligt antagna)