Gå till startsidan
Intranät Helsingborg

Överföring av personuppgifter till tredjeland

Att överföra personuppgifter till tredjeland innebär att personuppgifter görs tillgängliga för någon i ett land utanför EU och EES-området. Europeiska ekonomiska samarbetsområdet (EES) är ett samarbete mellan EU och Island, Liechtenstein och Norge. Enligt dataskyddsförordningen (GDPR) är sådana överföringar endast tillåtna under vissa förutsättningar.

Exempel på överföring av personuppgifter till tredjeland:

  • Att ni lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
  • Att använda leverantörer som är lokaliserade utanför EU/EES.
  • Om ni via e-post skickar dokument som innehåller personuppgifter till en mottagare i ett land utanför EU/EES.
  • Att ni anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
  • Att ni ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.

Observera att publicera på internet inte är tredjelandsöverföring, även om webbplatsen lagras hos en internetleverantör som är etablerad inom EU/EES.

Varför behövs särskilda regler för att överföra personuppgifter utanför EU/EES?

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES.

Laglighet vid överföring till tredjeland

För att en personuppgiftsbehandling som omfattar en tredjelandsöverföring ska vara laglig är det inte tillräckligt att enbart själva överföringen följer dataskyddsförordningen. Övriga relevanta regler i dataskyddsförordningen och annan tillämplig lagstiftning måste också uppfyllas för att behandlingen ska vara laglig.

Möjligheter att överföra personuppgifter till tredjeland

När är överföring utanför EU/EES tillåten? Under följande förutsättningar är det tillåtet att överföra personuppgifter utanför EU/EES:

  • Mottagaren omfattas av ett beslut om adekvat skyddsnivå.
  • Avtal med EU-kommissionens antagna standardavtalsklausuler tecknas med mottagaren.
  • Mottagaren omfattas av ett beslut om bindande företagsbestämmelser.
  • Vissa undantag i särskilda situationer.

Adekvat skyddsnivå

EU-kommissionen kan fatta beslut om att ett land utanför EU/EES har en tillräckligt hög skyddsnivå för personuppgifter. I dataskyddsförordningen kallas det för adekvat skyddsnivå. Beslutet kan gälla ett visst land eller territorium, en internationell organisation eller en eller flera sektorer i ett land. Finns ett beslut om adekvat skyddsnivå är det tillåtet att överföra personuppgifter till mottagare i landet utan något särskilt tillstånd.

När EU-kommissionen fattar beslut om adekvat skyddsnivå granskas bland annat landets lagar och internationella åtaganden, möjligheter för den registrerade att få en rättslig prövning och om landet respekterar de mänskliga rättigheterna och de grundläggande friheterna. EU-kommissionen kontrollerar också att det finns oberoende tillsynsmyndigheter som ansvarar för att dataskyddsreglerna följs och som kan hjälpa de registrerade.

Länder med adekvat skyddsnivå

EU-kommissionen har fattat beslut om att följande länder har adekvat skyddsnivå:

Andorra, Argentina, Bailiwick of Guernsey, Färöarna, Isle of Man, Israel, Japan, Jersey, Nya Zeeland, Schweiz, Storbritannien, Sydkorea och Uruguay.

EU-kommissionen har även bedömt att skyddsnivån är adekvat på vissa områden eller under särskilda villkor i följande länder:

  • Kanada, om deras lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling.
  • USA, om mottagaren omfattas av EU-US Data Privacy Framework.

Läs mer om överföring till USA på EU-US Data Privacy Framework.

Standardavtalsklausuler

Standardavtalsklausuler (Standard Contractual Clauses, SCC) kan användas för att vidta lämpliga skyddsåtgärder enligt artikel 46.2 c GDPR. Det innebär att om avtal som innehåller standardavtalsklausuler ingås med en mottagare utanför EU/EES, är det som regel tillåtet att överföra personuppgifter dit.

Standardavtalsklausulerna innehåller skyldigheter dels för personuppgiftsansvariga och personuppgiftsbiträden som vill föra över personuppgifter till länder utanför EU/EES (exportören), dels för personuppgiftsansvariga eller personuppgiftsbiträden som tar emot sådana uppgifter (importören). Klausulerna reglerar också exempelvis de registrerades rättigheter och hur tvister med anledning av avtalet ska lösas.

Att använda standardavtalsklausuler

Standardavtalsklausulerna består av 4 olika moduler för varje klausul och är anpassade efter olika situationer. Välja den variant som är tillämplig i ert fall. Standardavtalsklausulerna är anpassade för överföring från

  • personuppgiftsansvarig till personuppgiftsansvarig
  • personuppgiftsansvarig till personuppgiftsbiträde
  • personuppgiftsbiträde till personuppgiftsbiträde
  • personuppgiftsbiträde till personuppgiftsansvarig

Enligt standardavtalsklausulerna är det även möjligt för flera parter att ansluta sig till samma avtal.

Observera att klausulerna inte får ändras. Affärsrelaterade frågor får läggas till i avtalet, men de får inte strida mot någon standardavtalsklausul.

I standardavtalsklausulerna är kraven i artikel 28.3 GDPR integrerade, vilket innebär att parterna inte behöver ingå något separat personuppgiftsbiträdesavtal.

Ytterligare skyddsåtgärder

Ibland är skyddsnivån för personuppgifter inte tillräcklig i ett tredjeland. Exempelvis kan lagstiftningen i det tredjeland där importören finns innebära att det skydd som ska garanteras av standardavtalsklausulerna inte kan upprätthållas i praktiken. Utöver att teckna avtal med standardavtalsklausuler behöver även ytterligare skyddsåtgärder vidtas, för att överföringen ska vara laglig. Europeiska dataskyddsstyrelsen (EDPB) har antagit rekommendationer om när ytterligare skyddsåtgärder kan behövas och vilka typer av åtgärder som kan användas.

I vissa fall kan dock inga ytterligare skyddsåtgärder kompensera för bristerna i det mottagande tredjelandet och på så vis göra överföringen tillåten. I sådana fall behöver ni avstå ifrån att utföra överföringen.

Bindande företagsbestämmelser

Bindande företagsbestämmelser (Binding Corporate Rules, BCR) är regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin inbördes behandling av personuppgifter. Bindande företagsbestämmelser måste godkännas av Integritetsmyndigheten (IMY) eller någon annan tillsynsmyndighet i EU.

I dataskyddsförordningen finns detaljerade bestämmelser om vad bindande företagsbestämmelser ska innehålla och hur det går till när tillsynsmyndigheten behandlar ärenden om att få bindande företagsbestämmelser godkända. Innan en tillsynsmyndighet godkänner bindande företagsbestämmelser ska den begära yttrande från EDPB.

MN
Maria Nordstrand Författare
Publicerad: Uppdaterad:

Länk otillgänglig

Den här länken kan inte nås på ditt nuvarande nätverk. Systemet du försöker nå är endast tillgängligt genom en säker, auktoriserad anslutning.

För att få åtkomst behöver du antingen vara ansluten till nätverket på en specifik plats, som ett kontor, eller använda en säker anslutningsmetod, som en VPN.

Vänligen säkerställ att du är ansluten till rätt nätverk för att fortsätta.

Fortsätt ändå