Överföring av personuppgifter till tredje land

För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda mer strikta regler än när en behandling enbart sker inom EU/EES. Anledningen till detta är att det genom dataskyddsförordningen har skapats ett likvärdigt skydd för personuppgifter och den personliga integriteten inom EU och EES. Vid överföringar utanför EU/EES finns däremot inte dessa överenskommelser vilket leder till att särskilda regler gäller vid överföringar.

Överföring av personuppgifter till tredje land är när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES-området.

EU/EES-området:

Länder i EU: Belgien, Bulgarien, Cypern, Danmark, Estland, Finland, Frankrike, Grekland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Nederländerna, Polen, Portugal, Rumänien, Slovakien, Slovenien, Spanien, Sverige, Tjeckien, Tyskland, Ungern och Österrike.

Länder i EES: Island, Liechtenstein och Norge

Exempel på överföring av personuppgifter till tredje land:

  • När ett dokument som innehåller personuppgifter skickas per e-post till någon i ett land utanför EU/EES.
  • När KI anlitar ett personuppgiftbiträde som är etablerat i ett land utanför EU/EES.
  • När någon utanför EU/EES har tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
  • När personuppgifter lagras i en molntjänst som är baserad utanför EU/EES.
  • När personuppgifter lagras, till exempel på en server, i ett land utanför EU/EES.

Villkor för överföring till tredje land:

Överföring av personuppgifter till tredje land får enligt dataskyddsförordningen ske om följande villkor uppfylls och under förutsättning att övriga regler i förordningen följs. En tredjelandsöverföring får ske bland annat i följande fall:

  1. Det finns ett beslut från EU-kommissionen om att ett visst land utanför EU/EES säkerställer adekvat skyddsnivå. Läs mer hos Integritetsskyddsmyndigheten.
  2. Om det har vidtagits lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
  3. Särskilda situationer och enstaka fall, läs mer om dessa fall nedan.

Innan en överföring sker ska det först övervägas om överföringen verkligen behöver göras, det kan finnas andra lösningar för att undvika överföringen. Kraven vid överföring av personuppgifter till ett tredje land är höga och riskerna för de registrerade ska alltid noggrant analyseras. Särskilda situationer där det kan vara tillåtet att överföra personuppgifter till ett tredje land:

  • den registrerade uttryckligen har gett sitt samtycke efter att ha fått information om riskerna med överföringen, läs mer om information till registrerade här
  • det är nödvändigt för att fullgöra ett avtal med den registrerade eller för att, på den registrerades begäran, genomföra åtgärder inför ett sådant avtal
  • det är nödvändigt för att ingå eller fullgöra ett avtal med någon annan än den registrerade, om det ligger i den registrerades intresse
  • det är nödvändigt av viktiga skäl som rör allmänintresset, vilket ska vara erkänt i nationell rätt eller EU-rätten (kan till exempel gälla etikprövad och godkänt forskningsprojekt)
  • det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk
  • det är nödvändigt för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är förhindrad (fysiskt eller rättsligt) att lämna samtycke, eller
  • överföringen, under vissa förutsättningar, görs från ett register som enligt nationell rätt eller EU-rätten är för allmänhetens information.

Om du är osäker på skyddsnivån hos en mottagare, eller frågor kring överföring till tredjeland, kontakta dataskyddsombud@ki.se

MG
Innehållsgranskare:
Mats Gustavsson
Märta Philp
2023-03-17