Kunskap: Vad är en överföring till tredjeland enligt GDPR?

Dataskyddsförordningen (“GDPR”) förbjuder överföring av personuppgifter till tredjeländer utan laglig grund. Ett företag, myndighet eller annan organisation som överför personuppgifter till ett tredjeland utan laglig grund riskerar höga sanktionsavgifter.

Men vad räknas egentligen som en överföring av personuppgifter till ett tredjeland? Som tredje land räknas (enligt GDPR) länder utanför EU/EES-området som till exempel USA, Kina och Indien, men från och med den 1 januari 2021 även Storbritannien. EES består av Norge, Island och Liechtenstein. Schweiz är inte med i EES varför det klassas som ett tredjeland.

Som tredjelandsöverföring räknas att en avsändare skickar personuppgifter till en mottagare i ett tredjeland, eller att personuppgifterna görs tillgängliga för någon, exempelvis via åtkomst, i ett tredjeland.

Nedan anges några exempel på tredjelandsöverföringar:

  • Användning av molntjänster för fillagring (filer och dokument innehåller vanligtvis personuppgifter) med placering av datacenter i ett tredjeland.
  • Avsändare skickar e-postmeddelanden eller chattmeddelanden innehållandes personuppgifter till en mottagare som befinner sig i ett tredje land.
  • Mottagare som befinner i ett tredjeland får åtkomst till data (som innehåller personuppgifter) som lagras i Sverige (eller ett annat land inom EU/EES).

Ytterligare ett vanligt förekommande exempel är att stora molntjänstleverantörer som Microsoft (MS Azure) och Amazon (AWS) erbjuder avtal som säkerställer att data som hanteras i tjänsten lagras i EU/EES. Men om en supportmedarbetare som sitter i USA, Kina eller Indien, eller ett annat tredjeland, kommer åt denna data inom ramen för sitt arbete innebär detta likväl en tredjelandsöverföring i GDPR:s mening, trots att data lagras i EU/EES.

Du kan läsa mer om när personuppgifter får överföras till tredjeland här.

Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.