Nyhet

Överföring av personuppgifter till tredjeland är både vanligt och önskvärt för många företag och organisationer. Det beror inte minst på att verksamheter idag ofta använder sig av till exempel molnlagringstjänster som inte sällan är placerade utanför EU/EES. I dataskyddsförordningen (GDPR) finns ett förbud mot att överföra personuppgifter till tredje land (land utanför EU/EES). Det finns dock vissa undantag från förbudet.

Vad är tredje land?

Enligt definitionen i dataskyddsförordningen är ett tredje land en stat som inte ingår i Europeiska Unionen (EU) eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES).

Några exempel på tredje land är USA, Kanada och Australien. Norge, Island och Liechtenstein är anslutna till EES och anses därför inte som tredje land. Överföring av personuppgifter till dessa länder hanteras därför på samma sätt som när överföring sker mellan två EU-länder.

Är det tillåtet att skicka personuppgifter till tredje land?

Överföring av personuppgifter till tredje land får enligt dataskyddsförordningen ske i följande situationer och under förutsättning att övriga regler i förordningen följs. Det finns beslut om adekvat skyddsnivå

  • Beslut om adekvat skyddsnivå
  • Lämpliga skyddsåtgärder, t.ex. standardavtalsklausuler 
  • Särskilt tillstånd av tillsynsmyndigheten
  • Samtycke eller i andra särskilt angivna situationer
  • Överföring vid enstaka tillfällen

Vilka länder har adekvat skyddsnivå?

Om EU-kommissionen har beslutat att ett tredje land säkerställer en adekvat skyddsnivå får du föra över personuppgifter dit utan något särskilt tillstånd. Det är bara EU-kommissionen som kan fatta ett sådant beslut och det finns inget utrymme för den personuppgiftsansvarige att själv avgöra när det finns en adekvat skyddsnivå eller inte.

I dagsläget har följande länder beslut om adekvat skyddsnivå:

  • Andorra
  • Argentina
  • Bailiwick of Guernsey
  • Färöarna
  • Isle of Man
  • Israel
  • Jersey
  • Nya Zeeland
  • Schweiz
  • Uruguay
  • Kanada (om deras lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling)
  • USA (om mottagaren har anslutit sig till Privacy Shield)

Därutöver pågår diskussioner om adekvat skyddsnivå för Japan och Sydkorea. Mer information om EU-kommissionens beslut om adekvat skyddsnivå hittar du på EU-kommissionens webbplats.

Vad är EU:s standardavtalsklausuler?

Standardavtalsklausulernas syfte är att säkra de registrerade individernas rättigheter att inte få sin personliga integritet kränkt. Innehållet i standardavtalsklausulerna ger de registrerade individerna rättigheter när det kommer till den behandling som sker av deras personuppgifter.

Det finns tre olika versioner av standardavtalsklausuler som EU-kommissionen har beslutat om ("Standard Contractual Clauses"). Två av versionerna kan användas när du skickar personuppgifter till ett tredje land där mottagaren kommer att vara personuppgiftsansvarig för den behandling av personuppgifter som mottagaren gör, medan den tredje versionen används när mottagaren agerar personuppgiftsbiträde till dig. 

Mer information om standardavtalsklausulerna och hur dessa ska användas finns på EU-kommissionens webbplats.

Vad är bindande företagsbestämmelser?

Bindande företagsbestämmelser ("Binding Corporate Rules") beskriver regler som en företagskoncern med bolag i flera olika länder kan ha tagit fram för att reglera sin personuppgiftsbehandling. En överföring av uppgifter mellan bolag i koncernen kan innebära att uppgifter förs över från EU/EES till tredje länder.

I dataskyddsförordningen finns detaljerade regler om vad bindande företagsbestämmelser ska innehålla och hur tillsynsmyndighetens godkännande av dessa ska ske. Innan en tillsynsmyndighet godkänner dessa bestämmelser ska myndigheten begära ett yttrande från den Europeiska dataskyddsstyrelsen, där företrädare för alla EU/EES-länders tillsynsmyndigheter är med.

Mer information om bindande företagsbestämmelser och hur du ansöker om dessa finns på EU-kommissionens webbplats.

Andra möjligheter till tredjelandsöverföring

En överföring till ett tredjeland kan i undantagsfall ske om överföringen inte är repetitiv, om den endast gäller ett begränsat antal registrerade, om den är nödvändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. En förutsättning är då att du informerar tillsynsmyndigheten om överföringen.

Behöver jag upprätta ett biträdesavtal?

Det ska alltid finnas ett skriftligt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Detta gäller oavsett om den registrerade har samtyckt till tredjelandsöverföringen eller om mottagarlandet har beslut om adekvat skyddsnivå. Det är alltid den personuppgiftsansvarige som ansvarar för att avtalet finns. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsaansvarige ska vidta. 

Mer information om när ett personuppgiftsbiträdesavtal är nödvändigt och vad det ska innehålla hittar du här

Play

Du är också välkommen att titta på vår korta video Överföring till tredjeland under sektionen Play.

Hur gör jag i praktiken?

Om du fortfarande har funderingar kring tredjelandsöverföringar, behöver hjälp med att upprätta standardavtalsklausuler eller ansöka om bindrande företagsbestämmelser, rekommenderar vi att du kontaktar oss för en konsultation. Du kan läsa mer om våra tjänster här.

Back to top