Dataskyddsförordningen (“GDPR”) förbjuder överföring av personuppgifter till tredjeländer utan laglig grund. Ett företag, myndighet eller annan organisation som överför personuppgifter till ett tredjeland utan laglig grund riskerar höga sanktionsavgifter.
Men vad räknas egentligen som en överföring av personuppgifter till ett tredjeland? Som tredje land räknas (enligt GDPR) länder utanför EU/EES-området som till exempel USA, Kina och Indien, men från och med den 1 januari 2021 även Storbritannien. EES består av Norge, Island och Liechtenstein. Schweiz är inte med i EES varför det klassas som ett tredjeland.
Som tredjelandsöverföring räknas att en avsändare skickar personuppgifter till en mottagare i ett tredjeland, eller att personuppgifterna görs tillgängliga för någon, exempelvis via åtkomst, i ett tredjeland.
Nedan anges några exempel på tredjelandsöverföringar:
- Användning av molntjänster för fillagring (filer och dokument innehåller vanligtvis personuppgifter) med placering av datacenter i ett tredjeland.
- Avsändare skickar e-postmeddelanden eller chattmeddelanden innehållandes personuppgifter till en mottagare som befinner sig i ett tredje land.
- Mottagare som befinner i ett tredjeland får åtkomst till data (som innehåller personuppgifter) som lagras i Sverige (eller ett annat land inom EU/EES).
Ytterligare ett vanligt förekommande exempel är att stora molntjänstleverantörer som Microsoft (MS Azure) och Amazon (AWS) erbjuder avtal som säkerställer att data som hanteras i tjänsten lagras i EU/EES. Men om en supportmedarbetare som sitter i USA, Kina eller Indien, eller ett annat tredjeland, kommer åt denna data inom ramen för sitt arbete innebär detta likväl en tredjelandsöverföring i GDPR:s mening, trots att data lagras i EU/EES.
Du kan läsa mer om när personuppgifter får överföras till tredjeland här.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.