Överföring av personuppgifter till tredje land

  1. Vad är ett tredje land?
  2. Vad är en överföring av personuppgifter till tredje land?
  3. Överförs personuppgifter till tredje land om de publiceras på Internet?
  4. Varför finns särskilda regler om tredjelandsöverföring?
  5. När är tredjelandsöverföring tillåten?
  6. Vad menas med "adekvat skyddsnivå"?
  7. Hur vet jag om dataskyddsnivån i ett land är adekvat eller inte?
  8. Vad är Safe Harbor-principerna?
  9. Kan man föra över uppgifter om personer som har samtyckt till det?
  10. Vilka är de särskilda situationer i 34 § personuppgiftslagen när personuppgifter får föras över till tredje land?
  11. Vad menas med tillräckliga garantier till skydd för de registrerades rättigheter?
  12. Vad är standardavtalsklausuler?
  13. Vad är Binding Corporate Rules?
  14. När krävs ansökan eller anmälan till Datainspektionen?

1. Vad är ett tredje land?

Ett land som inte är medlem i EU eller EES.

Följande länder är medlemmar i EU

Luxemburg
Malta
Nederländerna
Polen
Portugal
Rumänien
Slovakien
Slovenien
Spanien
Sverige
Tjeckien
Tyskland
Ungern
Österrike

Medlemmar i EES är: Island, Liechtenstein och Norge.

2. Vad är en överföring av personuppgifter till tredje land?

När personuppgifter som behandlas i ett EU- eller EES-land görs tillgängliga i ett land utanför EU/EES-området. Exempelvis när personuppgifter i ett datoriserat register skrivs ut och skickas i pappersform eller när personuppgifter skickas via e-post.

3. Överförs personuppgifter till tredje land om de publiceras på Internet?

Nej, det anses inte som en tredjelandsöverföring om uppgifterna publiceras på en webbplats på Internet och webbplatsen lagras hos en Internetleverantör som är etablerad inom EU.

4. Varför finns det särskilda regler om tredjelandsöverföring?Upp till toppen av sidan

EU:s dataskyddsdirektiv kräver att alla medlemsstater har regler som ger ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Eftersom det inte finns några generella regler som ger motsvarande garantier utanför EU/EES har man ansett att överföring till sådana länder bör begränsas. Personuppgifter får därför föras över endast om det finns en adekvat skyddsnivå i mottagarlandet eller om det finns särskilda garantier för att uppgifterna och de registrerades rättigheter skyddas.

Upp till toppen av sidan5. När är tredjelandsöverföring tillåten?

  • Personuppgifter får föras över till tredje land i någon av följande situationer:
  • Om det finns en adekvat skyddsnivå (se nedan) i mottagarlandet (till exempel i enlighet med beslut av EU-kommissionen).
  • När den registrerade gett sitt samtycke till överföringen.
  • I vissa särskilda situationer som finns uppräknade i 34 § personuppgiftslagen (se nedan).
  • Om det i annat fall är tillåtet enligt föreskrifter eller särskilda beslut av regeringen eller Datainspektionen därför att det finns tillräckliga garantier för att de registrerades rättigheter skyddas. Sådana garantier kan finnas genom:
    • Standardavtalsklausuler som EU-kommissionen godkänt.
    • Bindande företagsinterna regler (så kallade Binding Corporate Rules - BCR).

Den personuppgiftsbehandling som sker i Sverige måste fortfarande följa reglerna i personuppgiftslagen. Det innebär att uppgifter bara får föras över om den personuppgiftsansvarige i Sverige har följt övriga krav i personuppgiftslagen, till exempel de grundläggande kraven på personuppgiftsbehandling och reglerna om när sådan behandling över huvud taget är tillåten.

6. Vad menas med "adekvat skyddsnivå"?

I personuppgiftslagen (och i EU:s dataskyddsdirektiv) finns riktlinjer för vad man måste tänka på när man bedömer skyddsnivån för personuppgifter. Alla omständigheter som har samband med överföringen ska beaktas. Man ska särskilt ta hänsyn till vilket slags uppgifter det är fråga om, ändamålet med behandlingen, hur länge behandlingen ska pågå, varifrån uppgifterna ursprungligen kommer, var uppgifterna slutligen kommer att hamna och vilka dataskyddsregler som finns i det tredje landet.

Upp till toppen av sidan7. Hur vet jag om dataskyddsnivån i ett land är adekvat eller inte?

EU-kommissionen har analyserat dataskyddsreglerna i några länder och fattat beslut om att skyddsnivån i dessa länder är adekvat. Besluten gäller:

  • Argentina
  • Bailiwick of Guernsey
  • Färöarna
  • Isle of Man
  • Jersey
  • Schweiz

Dessutom har EU-kommissionen bedömt att skyddsnivån är adekvat på vissa områden eller under särskilda villkor i följande länder:

  • Kanada (om deras lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling)
  • USA (om mottagaren har anslutit sig till de så kallade Safe Harbor-principerna)

EU-kommissionens beslut finns uppräknade i en bilaga till personuppgiftsförordningen. I förordningen anges också uttryckligen att överföring är tillåten i dessa fall.

8. Vad är Safe Harbor-principerna?

Det är en samling frivilliga regler om personlig integritet och dataskydd som har tagits fram och beslutats av USA:s handelsdepartement (Department of Commerce - DoC). Organisationer i USA kan anmäla till departementet att de ansluter sig till dessa regler. EU-kommissionen har bedömt att reglerna (med tillhörande frågor och svar) utgör en adekvat skyddsnivå. Det är därmed tillåtet att föra över personuppgifter från EU/EES till organisationer i USA som har anslutit sig till reglerna. På USA:s handelsdepartements webbplats finns en lista över företag som anslutit sig till Safe Harbor-principerna.

Läs mer hos USA:s handelsdepartement

Upp till toppen av sidan9. Kan man föra över uppgifter om personer som har samtyckt till det?

Ja, det tillåts uttryckligen i personuppgiftslagen. Ett samtycke ska vara frivilligt, avse just själva överföringen av personuppgifter och ha lämnats efter det att den registrerade fått information om behandlingen. Ett samtycke ger bara rätt att föra över personuppgifter om den som lämnat samtycket - inte uppgifter om någon annan.

10. Vilka är de särskilda situationer i 34 § personuppgiftslagen när personuppgifter får föras över till tredje land?

I 34 § personuppgiftslagen räknas några särskilda situationer upp, utöver samtycke, där överföring får ske oavsett om det finns adekvat skyddsnivå eller andra garantier:

  • om överföringen är nödvändig för att ett avtal mellan den registrerade och den som behandlar personuppgifterna ska kunna fullgöras
  • om överföringen är nödvändig för att ett avtal mellan den registrerade och någon annan ska kunna fullgöras och avtalet är i den registrerades intresse
  • om överföringen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras
  • om överföringen är nödvändig för att vitala intressen för den registrerade ska kunna skyddas.

Den svenska personuppgiftslagen tillåter också överföring av personuppgifter till länder som anslutit sig till Europarådets dataskyddskonvention nr 108 från 1981. Det gäller dock bara om uppgifterna enbart ska användas i ett sådant land.

Upp till toppen av sidan11. Vad menas med tillräckliga garantier till skydd för de registrerades rättigheter?

Sådana garantier kan vara att överföringen regleras av särskilda avtalsklausuler som skyddar de registrerades rättigheter. I personuppgiftsförordningen finns regler som tillåter att personuppgifter förs över till tredje land om det sker med stöd av sådana standardavtalsklausuler som EU-kommissionen godkänt.

Datainspektionen får också tillåta överföring till tredje land om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Det kan ske antingen genom generella föreskrifter eller i enskilda beslut. I ett sådant enskilt beslut har Datainspektionen tillåtit överföring av personuppgifter inom en koncern där det åberopades att bindande företagsinterna regler (så kallade Binding Corporate Rules - BCR) utgjorde sådana garantier. Överföring med stöd av BCRs har också tillåtits av dataskyddsmyndigheter i andra EU-länder.

Upp till toppen av sidan12. Vad är standardavtalsklausuler?

Standardavtalsklausuler är avtalsklausuler som innehåller skyldigheter dels för personuppgiftsansvariga som vill föra över uppgifter till tredje land, dels för personuppgiftsansvariga eller personuppgiftsbiträden som tar emot sådana uppgifter. Klausulerna reglerar också andra frågor kring överföringen, som till exempel de registrerades rättigheter och hur tvister med anledning av avtalet ska lösas. Syftet med avtalsklausulerna är att ge tillräckliga garantier för att enskildas rättigheter ska skyddas vid överföring av personuppgifter till länder som inte har en adekvat skyddsnivå.

Det finns tre olika alternativ att välja bland när det gäller standardavtalsklausuler. Alla tre har godkänts av EU-kommissionen. Två av dessa gäller överföring till andra personuppgiftsansvariga i tredje länder. Det tredje avser överföring av uppgifter till personuppgiftsbiträden i tredje land. En särskild bestämmelse i personuppgiftsförordningen tillåter uttryckligen att personuppgifter förs över till tredje land med stöd av någon av dessa uppsättningar avtalsklausuler. Något tillstånd från Datainspektionen behövs inte.

Läs de tre olika kommissionsbesluten med respektive avtalsklausuler

Upp till toppen av sidan13. Vad är Binding Corporate Rules?

Begreppet beskriver regler som en företagskoncern med bolag i flera olika länder kan ha tagit fram för att reglera sin personuppgiftsbehandling. En överföring av uppgifter mellan bolag i koncernen kan innebära att uppgifter förs över från EU/EES till tredje länder. Både EG:s dataskyddsdirektiv och den svenska personuppgiftslagen ger utrymme för att tillåta överföring om det finns tillräckliga garantier för att enskildas rättigheter skyddas. Binding Corporate Rules kan utgöra sådana garantier.

Artikel 29-gruppen (med representanter för EU-ländernas dataskyddsmyndigheter) har publicerat flera dokument med vägledning om vad sådana bindande företagsinterna regler ska innehålla. EU-ländernas dataskyddsmyndigheter har också en rutin för att gemensamt diskutera och bedöma förslag till sådana regler eftersom det ofta rör överföring av personuppgifter från flera EU/EES-länder. 29-gruppen har också tagit fram ett standardiserat ansökningsformulär för godkännande av Binding Corporate Rules.

Läs mer om 29-gruppen och ansökningsformuläret

Samarbetet mellan dataskyddsmyndigheterna kan underlätta och bidra till att samordna bedömningen av sådana regler. En utländsk dataskyddsmyndighet kan däremot inte fatta ett beslut som tillåter ett svenskt bolag inom koncernen att föra över personuppgifter från Sverige. Det svenska bolaget måste ge in en särskild ansökan till Datainspektionen. Det är alltså inte tillräckligt att moderbolaget i en koncern, med säte i till exempel London, har fått godkännande av den brittiska dataskyddsmyndigheten. Det svenska bolaget i koncernen måste fortfarande invänta ett godkännande av Datainspektionen. Ett sådant godkännande avser bara frågan om uppgifterna ska få föras över till ett tredje land eller inte. Den personuppgiftsbehandling som sker i Sverige måste fortfarande följa reglerna i personuppgiftslagen.

Upp till toppen av sidan14. När krävs ansökan eller anmälan till Datainspektionen?

I princip ska all personuppgiftsbehandling anmälas men det finns en stor mängd undantag från denna huvudregel. Den som har utsett ett personuppgiftsombud i sin organisation behöver till exempel inte göra någon anmälan. Vissa typer av behandlingar som sannolikt inte kommer att leda till otillbörligt integritetsintrång behöver inte heller anmälas enligt föreskrifter från Datainspektionen.

Det krävs ingen särskild anmälan till Datainspektionen för att personuppgifter överförs till tredje land. Däremot kan personuppgiftsbehandlingen som sådan vara anmälningspliktig enligt de generella reglerna i 36 § personuppgiftslagen. Överföring av uppgifter till någon i USA som anslutit sig till Safe Harbor-principerna eller till något annat av de länder som EU-kommissionen ansett ha en adekvat skyddsnivå kräver alltså ingen särskild anmälan till Datainspektionen. Inte heller krävs någon särskild anmälan (eller ingivande av avtalskopia) för överföring som sker med stöd av standardavtalsklausuler.

Den som däremot vill åberopa att det finns andra garantier till skydd för registrerades rättigheter vid överföring till tredje land, till exempel genom Binding Corporate Rules, måste ansöka om undantag från det principiella överföringsförbudet hos Datainspektionen. Det finns inga formella krav på hur en sådan ansökan ska se ut men artikel 29-gruppens standardformulär kan användas som vägledning för vilken information som ansökan bör innehålla.

Tillbaka till toppen av sidan

Om oss

Kontaktpersoner

Kontaktpersoner för Datainspektionens internationella arbete är Elisabeth Wallin och Birgitta Åbjörnsson.