meny

Överföring till tredje land

När personuppgifter blir tillgängliga utanför EU/EES.

Behandlar ni personuppgifter som någon utanför EU har tillgång till? Använder ni er av tjänsteleverantörer utanför EU? Kanske lagrar ni personuppgifter i en molntjänst? I dataskyddsförordningen kallas det här för att överföra personuppgifter till tredje land. Det är tillåtet i vissa fall, men reglerna är strikta.

Information om brexit

Senast den 31 januari 2020 upphör Storbritannien att vara medlem i Europeiska Unionen. EU och Storbritannien har förhandlat fram ett avtal med övergångsbestämmelser kring utträdet men avtalet måste godkännas av båda sidornas parlament. Om utträdet sker utan att något sådant avtal kommer till stånd, en så kallad no-deal brexit, innebär det att Storbritannien senast den 31 januari 2020 blir ett så kallat tredje land i den mening som avses i EU:s dataskyddsförordning, GDPR. Detta innebär i sin tur att överföringar av personuppgifter från övriga EU-medlemsstater till Storbritannien bara får ske om bestämmelserna i kapitel 5 i dataskyddsförordningen är uppfyllda.

Datainspektionens motsvarighet i Storbritannien, Information Commissioner's Office (ICO), har tagit fram information om brexit på sin webbplats. Det har även Irlands dataskyddsmyndighet gjort.

Information från EDPB
Europeiska dataskyddsstyrelsen (EDPB) har beslutat att gå ut med information om överföring av personuppgifter enligt GDPR vid händelse av en no-deal brexit. Informationen är främst tänkt att rikta sig till kommersiella aktörer och myndigheter.

Varför behövs särskilda regler för överföring utanför EU/EES?

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar.

Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES.

När är överföring utanför EU/EES tillåten?

Under vissa förutsättningar är det tillåtet att överföra personuppgifter utanför EU/EES:

  • Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
  • Ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
  • Särskilda situationer och enstaka fall.

Mer information

EDPB:s riktlinjer om undantag enligt artikel 49

Rättsinformation

Artikel 44–50
Skäl 101–116 och 169