Det är tillåtet att överföra personuppgifter till tredjeland i vissa fall, men reglerna är striktare då. Definitionen av tredjeland är ett land som inte ligger i EU/EES-området. Företag kan behöva vidta lämpliga extra skyddsåtgärder för att få överföra personuppgifter till ett tredjeland i enlighet med GDPR.
Att överföra personuppgifter till ett tredjeland utanför EU/EES-området i enlighet med GDPR
Det är att överföra personuppgifter till tredjeland i samband med att man använder en digital tjänst från en aktör i ett tredjeland. Exempelvis om ett svenskt företag använder en molntjänst från ett tjänsteföretag som är registrerat och verksamt i ett land utanför EU/EES-området. Ett annat exempel är om en anställd från ett svensk aktiebolag skickar ett mejl som innehåller personuppgifter till en mottagare som befinner sig i ett tredjeland. Inom EU och EES-området kan personuppgifter som är omfattade av GDPR bli överförda utan krav på särskilda extra säkerhetsåtgärder.
Beslut om adekvat skyddsnivå
EU-kommissionen kan besluta att ett land utanför EU/EES-området har en adekvat skyddsnivå. Om ett tredjeland har en adekvat skyddsnivå, är det tillåtet att överföra personuppgifter dit som om det vore ett land inom EU. EU-kommissionen uppdaterar listan med dessa länder regelbundet. Observera dock att läget kan förändras så att EU-kommissionen tar tillbaka beslutet.Ttill exempel om landet inför en ny lag som strider mot GDPR.
Därför är det viktigt att hålla sig uppdaterad om man lagrar personuppgifter i någon av dessa länder. Här är en lista med länderna som har adekvat skyddsnivå. Observera att ett företag inte kan fatta ett beslut själva om att företaget anser att ett tredjeland har adekvat skyddsnivå. Enbart EU-kommissionen kan besluta om att ett tredje land har adekvat skyddsnivå.
Det kan vara tillåtet att överföra personuppgifter till ett tredjeland vid enstaka fall eller vid särskilda situationer. Dessutom är det tillåtet om företaget vidtar lämpliga extra skyddsåtgärder. Exempelvis genom att ingå EU-kommissionens standardavtalsklausuler. Därefter kan man även behöva vidta fler skyddsåtgärder beroende på hur skyddsnivån i det tredjelandet dit personuppgifterna blir överföra är. Ett företag som bryter mot GDPR kan få stora ekonomiska konsekvenser.
