GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Informationssäkerhet

Överföringar av personuppgifter till ett tredjeland 

Det kan vara tillåtet att överföra personuppgifter till ett tredjeland i vissa fall, medan det är förbjudet i andra fall.

Vad är ett tredjeland?

Företag som vill överföra personuppgifter till ett tredjeland, måste säkerställa att överföringen är laglig innan den sker. Definitionen av ett tredjeland är ett land utanför EU/EES-området.

Exempel på överföring av personuppgifter till tredjeland:

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability
E-post

När en person på ett företag skickar ett dokument till en person i ett land utanför EU/EES-området som innehåller personuppgifter såsom namn och telefonnummer.

Molntjänst

Ett företag är personuppgiftsansvarig och vill lagra backup-filer med personuppgifter på en molntjänst online, vars företag är utanför EU/EES-området.

Särskilda situationer och undantag

Om EU-kommissionen inte har beslutat om adekvat skyddsnivå, eller om lämpliga skyddsåtgärder (exempelvis bindande företagsbestämmelser), får ett företag endast överföra personuppgifter till det tredjelandet om mist ett villkor i artikel 45 GDPR är uppfyllt. Det krävs därmed att det finns undantag i särskilda situationer, för att överföringen av personuppgifter till ett tredjeland ska vara laglig att genomföra. Exempel på ett undantag som gör en sådan överföring giltig, är om den registrerade har gett ett uttryckligt samtycke till överföringen och företaget har uppfyllt informationskravet kring riskerna med överföringen

Överföring av personuppgifter till USA

EU-US Privacy Shield var en överenskommelse som träffades 2016 mellan EU och USA, som handlade om skydd för personuppgifter som överfördes mellan EU och USA. År 2020 ogiltigförklarade EU-domstolen “EU-US Privacy Shield” genom den så kallade Schrems II-domen. Detta innebar att Privacy Shield-avtalet inte gav tillräckligt skydd i enlighet med GDPR för överföringar av personuppgifter till tredjeland. Därmed var det inte längre tillåtet att stödja överföringen på EU-US Privacy Shield. EU och USA började efter Shrems II-domen att upprätta ett nytt avtal, utan de brister som domen konstaterade. 

EU-kommissionen fattade sedan ett nytt beslut om adekvat skyddsnivå för USA under 2023. Däremot måste mottagande parten omfattas av det nya EU-U.S. Data Privacy Framework (DPF). Med andra ord innebär beslutet att det är tillåtet att överföra personuppgifter till USA utan att vidta några extra skyddsåtgärder, om mottagaren av personuppgifterna omfattas av DPF. 

Även fast mottagaren i USA inte omfattas av DPF, kan det vara tillåtet med överföringen av personuppgifter ändå. Däremot måste företaget som överför personuppgifterna vidta lämpliga skyddsåtgärder vid sådana fall.

Adekvat skyddsnivå

Den europeiska kommissionen (EU-kommissionen) kan besluta om att ett land har så kallad adekvat skyddsnivå. Vidare kan ett sådant beslut gälla ett visst territorium, såsom en delstat i ett land, istället för hela landet. Då får företag som behandlar personuppgifter som omfattas av GDPR överföra personuppgifter dit, utan något särskilt tillstånd eller vidtagande av några extra skyddsåtgärder. Exempel på extra skyddsåtgärder att vidta vid överföring till ett tredjeland som inte har en adekvat skyddsnivå är ingående av EU:s standardavtalsklausuler (SCC) eller upprättande av bindande företagsbestämmelser (BCR). 

Här kan du se listan på länderna med adekvat skyddsnivå enligt beslut från EU-kommissionen

Extra skyddsåtgärder

Om ett tredjeland inte har en adekvat skyddsnivå enligt EU-kommissionen, behöver företaget som önskar överföra personuppgifterna dit vidta extra skyddsåtgärder. Det kan ske på olika sätt. Till exempel genom att upprätta bindande företagsbestämmelser. En annan extra skyddsåtgärd är att inkludera standardavtalsklausuler från EU-kommissionen i sitt avtal med aktören i det tredjelandet som ska ta emot personuppgifterna. Ytterligare exempel på en extra skyddsåtgärd är att företaget kan ansluta sig till en godkänd uppförandekod. Nedan kan du läsa en kort sammanfattning av dessa extra skyddsåtgärder.

Bindande företagsbestämmelser

En multinationell grupp av företag, såsom en multinationell företagskoncern eller flera företag inom olika länder som driver en ekonomisk verksamhet gemensamt, kan upprätta bindande företagsbestämmelser för att reglera sin överföring av personuppgifter till företag inom den egna koncernen som finns i ett tredjeland. 

Bindande företagsbestämmelser är ett exempel på en lämplig skyddsåtgärd enligt Artikel 46(2)(b) i GDPR, och de regleras närmare i artikel 47 i GDPR. 

De bindande företagsbestämmelserna måste godkännas av den ansvariga dataskyddsmyndigheten, för att kunna användas som en extra lämplig skyddsåtgärd. Dessutom får alla andra dataskyddsmyndigheter i EU/EES-området samt den europeiska dataskyddsstyrelsen ge ett yttrande innan godkännandet.

Standardavtalsklausuler (SCC)

EU-kommissionen har tagit fram och godkänt standardavtalsklausuler (SCC) som företag kan använda när de överför personuppgifter till ett tredjeland (det vill säga ett land utanför EU/EES-området som inte har en adekvat skyddsnivå). 

Observera att EU-kommissionen kan uppdatera standardavtalsklausulerna, vilket innebär att även företagen som använder dem behöver uppdatera motsvarande i sina ingångna avtal.

Kort sagt reglerar SCC överföring av personuppgifter som omfattas av GDPR till ett tredjeland. Syftet är att genom avtalet uppfylla GDPR:s krav på ”skyddsåtgärder” vid tredjelandsöverföringar (enligt artikel 46 GDPR).

Restrict or ban processing

Val av korrekta klausuler vid användning av SCC

Standaravtalsklausulerna innehåller bestämmelser som gäller för olika typer av situationer. Strukturen är uppdelad i olika “moduler”. SCC består av bestämmelser kopplade till fyra moduler. Exempelvis för överföring av personuppgifter från en personuppgiftsansvarig inom EU till en annan personuppgiftsansvarig i tredjeland, eller ett personuppgiftsbiträde i tredjeland. Det är viktigt att använda de klausulerna i avtalet som passar den specifika situationen.

Uppförandekoder eller certifieringsmekanismer

En uppförandekod är en specifik anvisning inom en viss bransch om hur företaget ska följa GDPR. Bland annat genom att de innehåller praktiska anvisningar. Det är vanligt att organisationer som representerar en specifik bransch skapar en uppförandekod som företag kan ansluta till. En fördel är att det kan ge ett bättre förtroende för kunderna. 

Learn more about GDPR

Request a prior consultation with the national data protection authority

In some cases, a company must request prior consultation with the national data protection authority before commencing the processing of personal data. This applies where the risk to the rights and freedoms of data subjects remains high after the company has carried out an impact assessment. Please note that the company must carry out an impact assessment before requesting the prior consultation.

Want to learn more?

Read more
Rulla till toppen