Överföring till tredjeland
Behandlar ni personuppgifter som någon utanför EU/EES har tillgång till? Använder ni er av tjänsteleverantörer utanför EU/EES? Kanske lagrar ni personuppgifter i en molntjänst? I dataskyddsförordningen kallas det här för att överföra personuppgifter till tredjeland. Sådana överföringar är endast tillåtna under vissa förutsättningar.
Exempel på överföring av personuppgifter till tredjeland kan vara:
- När ni skickar dokument som innehåller personuppgifter per e-post till en mottagare i ett land utanför EU/EES.
- När ni anlitar ett personuppgiftsbiträde i ett land utanför EU/EES.
- När ni ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
- När ni lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
Obs! Att publicera något på internet är inte en tredjelandsöverföring om webbplatsen lagras hos en internetleverantör som är etablerad inom EU/EES.
Europeiska dataskyddsstyrelsen (EDPB) har antagit riktlinjer (05/2021) om samspelet mellan artikel 3 (territoriella tillämpningsområdet) och kapitel V (internationella överföringar) i dataskyddsförordningen som bland annat innehåller en tolkning av begreppet överföring till tredjeland.
Enligt riktlinjerna ska följande tre kriterier vara uppfyllda för att behandlingen ska utgöra en tredjelandsöverföring:
- Det finns en personuppgiftsansvarig eller ett personuppgiftsbiträde vars behandling omfattas av dataskyddsförordningen (det vill säga en ”exportör” av personuppgifter).
- Denna exportör skickar eller gör personuppgifter tillgängliga för en annan personuppgiftsansvarig eller ett personuppgiftsbiträde (det vill säga en ”importör” av personuppgifter).
- Denna importör finns i tredjeland eller är en internationell organisation, men oavsett om behandlingen omfattas av dataskyddsförordningen eller inte.
Om de tre kriterierna är uppfyllda betraktas behandlingen som en överföring till tredjeland, vilket innebär att den måste ha stöd i kapitel V i dataskyddsförordningen för att vara tillåten.
Varför behövs särskilda regler för överföring utanför EU/EES?
Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar.
Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES.
När är överföring utanför EU/EES tillåten?
Under vissa förutsättningar är det tillåtet att överföra personuppgifter utanför EU/EES:
- Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
- Ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
- Särskilda situationer och enstaka fall.
Om ni har vidtagit lämpliga skyddsåtgärder, men skyddsnivån i mottagarlandet inte är tillräcklig, kan ni behöva vidta ytterligare skyddsåtgärder utöver till exempel standardavtalsklausuler. I vissa fall kan inga skyddsåtgärder kompensera för bristerna och göra överföringen tillåten. I sådana fall behöver ni avstå ifrån eller avbryta överföringen. Europeiska dataskyddsstyrelsen (EDPB) har antagit rekommendationer (01/2020) om när ytterligare skyddsåtgärder kan behövas och vad sådana åtgärder kan vara.
Mer information
Fördjupa dig- EDPB:s rekommendationer 01/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls (engelsk version)
- EDPB:s riktlinjer 05/2021 om samspelet mellan artikel 3 (territoriellt tillämpningsområde) och kapitel V (tredjelandsöverföringar) i dataskyddsförordningen (engelsk version)