Överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet

Överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet förutsätter iakttagande av de övriga kraven i dataskyddslagstiftningen och en grund för överföringen. På den här sidan redogör vi för förutsättningarna för överföring i situationer där dataskyddsförordningen tillämpas på behandlingen av personuppgifter.

EU:s allmänna dataskyddsförordning tillämpas i Europeiska ekonomiska samarbetsområdets, som utöver EU-länderna omfattar Island, Liechtenstein och Norge. Ett centralt mål för den gemensamma dataskyddslagstiftningen är att garantera det fria flödet av personuppgifter inom EES. Därför får personuppgifter överföras till ett land som hör till Europeiska ekonomiska samarbetsområdet på samma grunder som inom Finland.

När personuppgifter överförs till länder utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet motsvarar nivån av skyddet för personuppgifter inte alltid nivån enligt EU:s allmänna dataskyddsförordning.. Det medför risker för de registrerade, dvs. för dem vars personuppgifter överförs. Därför fastställs i dataskyddsförordningen förutsättningar för de grunder på vilka personuppgifter kan överföras till tredjeländer eller internationella organisationer utanför EES.

Mer information om behandling av personuppgifter som omfattas av dataskyddsförordningen

Förutsättningar för överföring av personuppgifter till länder utanför EES

1. Behandlingen av personuppgifter ska vara tillåten i den aktuella situationen.Henkilötietojen käsittelyn on oltava sallittua kyseisessä tilanteessa.

2. Överföringen av personuppgifter ska dessutom ha en grund för överföring enligt kapitel V i dataskyddsförordningen. Effektiviteten hos grunden för överföring och behovet av kompletterande skyddsåtgärder bedöms från fall till fall.

Båda förutsättningarna ska uppfyllas för att personuppgifter ska kunna överföras.

Kapitel V i dataskyddsförordningen på EUR-Lex-webbplatsen

Grunderna för överföring av personuppgifter

Grunderna för överföring av personuppgifter fastställs i kapitel V i den allmänna dataskyddsförordningen. Grunderna för överföring är alternativa; det räcker således med att förutsättningarna för en av grunderna uppfylls. Om inte förutsättningarna i någon grund uppfylls kan personuppgifter inte överföras utanför EES. Varje överföringsgrund är förknippad med mer ingående kriterier. Överföringsgrunderna tillämpas både på den personuppgiftsansvariga och på personuppgiftsbiträdet.

*Dataskyddsmyndighetens separata tillstånd för tillämpning av en överföringsgrund förutsätts om det handlar om

  • avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen, eller
  • bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.

​​​​​​​

Vid överföringar ska dataskyddsnivån motsvara EU:s krav

Den personuppgiftsansvariga ska säkerställa att den skyddsnivå som dataskyddsförordningen garanterar inte äventyras vid överföring av uppgifter till länder utanför Europeiska ekonomiska samarbetsområdet. Den personuppgiftsansvariga ska också försäkra sig om att mottagaren av uppgifterna har rät att behandla de uppgifter som överförs.​​​​​​​​​​​

När internationella överföringar av personuppgifter och den grund för överföring som tillämpas på dessa har identifierats, ska de personuppgiftsansvariga och personuppgiftsbiträden som överför uppgifter kontrollera i enskilda fall om tredjelandets lagstiftning tillförsäkrar en i allt väsentligt likvärdig skyddsnivå för uppgifterna som inom EES.

Om den överföringsgrund som använts inte räcker till att garantera att dataskyddsnivån motsvarar EU:s krav, kan den i vissa fall kompletteras med olika skyddsåtgärder som kompletterar överföringsmekanismer. Om det inte finns lämpliga kompletterande skyddsåtgärder för att garantera adekvat dataskydd kan dataöverföring inte genomföras.​​​​​​

Huruvida bestämmelserna kan tillämpas påverkas inte av volymen av data som ska överföras, hur länge överföringen skulle ta eller om uppgifterna överförs på en gång eller under en längre tidsperiod. Bestämmelserna tillämpas också vid överföringar av personuppgifter vidare till ett annat tredjeland eller till en annan internationell organisation.

Överföringar av personuppgifter som utförs av myndigheter som svarar för den inre säkerheten

Personuppgifter kan överföras till tredjeländer eller internationella organisationer även när behöriga myndigheter, som Försvarsmakten, Polisen, en domstol, Tullen, Gränsbevakningsväsendet och Brottspåföljdsmyndigheten utför uppgifter enligt 1 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) (Finlex). På dessa överföringar tillämpas bestämmelserna i kapitel 7, vilka avviker från artiklarna om överföring av personuppgifter i dataskyddsförordningen.

Vilken överföringsgrund lämpar sig för överföring av personuppgifter?