meny

Överföring till tredje land

När personuppgifter blir tillgängliga utanför EU/EES.

Behandlar ni personuppgifter som någon utanför EU har tillgång till? Använder ni er av tjänsteleverantörer utanför EU? Kanske lagrar ni personuppgifter i en molntjänst? I dataskyddsförordningen kallas det här för att överföra personuppgifter till tredje land. Det är tillåtet i vissa fall, men reglerna är strikta.

Överföring av personuppgifter till Storbritannien med anledning av Brexit

Sedan den 31 januari 2020 är Storbritannien inte längre medlem i EU. Det innebär bland annat att Storbritannien har upphört att vara medlem i Europeiska dataskyddsstyrelsen (EDPB), med en möjlighet att vid exceptionella fall delta utan rösträtt.

Storbritannien och EU ska under en övergångsperiod som sträcker sig fram till den 31 december 2020 förhandla fram avtal på en mängd olika områden. 

Under övergångsperioden kommer Storbritannien att fortsatt tillämpa GDPR, vilket innebär att överföringar till Storbritannien kan hanteras på samma sätt som tidigare. Exempelvis kommer företag som har sitt huvudsakliga verksamhetsställe i Storbritannien fortsätta att tillämpa GDPR fram till övergångsperiodens slut.

För det fall inget avtal träffas om personuppgifter före den 1 januari 2021 kan Storbritannien komma att betraktas som ett tredje land enligt dataskyddsförordningen. Om Storbritannien betraktas som ett tredje land kommer det att krävas stöd i avsnitt 5 i GDPR för att behandlingen ska vara tillåten.

EDPB har beslutat att gå ut med information om överföring av personuppgifter enligt GDPR vid händelse av att Storbritannien blir ett tredje land. Informationen är främst tänkt att rikta sig till kommersiella aktörer och myndigheter.

Information om överföring av personuppgifter vid ett avtalslöst brexit

Mer information

Varför behövs särskilda regler för överföring utanför EU/EES?

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar.

Utanför EU/EES däremot finns inga generella regler som ger motsvarande garantier. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till länder utanför EU/EES.

När är överföring utanför EU/EES tillåten?

Under vissa förutsättningar är det tillåtet att överföra personuppgifter utanför EU/EES:

  • Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
  • Ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
  • Särskilda situationer och enstaka fall.

Mer information

EDPB:s riktlinjer om undantag enligt artikel 49

Rättsinformation

Artikel 44–50
Skäl 101–116 och 169