Det kan vara tillåtet att överföra personuppgifter till tredjeland enligt GDPR. Däremot är det inte alltid tillåtet. Definitionen av tredjeland är ett land som varken är medlem i EU eller inom EES-området, som inte uppnår ett adekvat skydd för personuppgifter. Vanliga exempel på personuppgifter är namn, passnummer, röstinspelning, IP-adress och personnummer. En bild på en person kan också vara en personuppgift. Dessutom kan det vara en känslig personuppgift i vissa fall. Det finns också fyra grupper av integritetskänsliga personuppgifter enligt GDPR.
Det kan vara tillåtet att överföra personuppgifter till tredjeland i vissa fall
Om ett företag använder en molntjänst som tillhandahålls av ett företag i till exempel USA för att lagra personuppgifter, innebär det att företaget överför personuppgifter till ett tredjeland. Detsamma gäller om en anställd skickar ett mejl till någon i ett tredjeland som innehåller personuppgifter.
EU-kommissionen kan besluta att vissa länder utanför EU har tillräckligt hög skyddsnivå och vid sådana fall är det tillåtet att överföra personuppgifter till det landet. Med andra ord att landet har en adekvat skyddsnivå och att företag kan genomföra överföringen dit som om det vore en överföring inom EU. Observera att företag inte kan göra denna bedömningen själva. Beslutet om adekvat skyddsnivå måste ske genom EU-kommissionen. IMY har publicerat en lista på länder som har adekvat skyddsnivå enligt EU-kommissionens beslut. Bara för att EU-kommissionen idag beslutar att ett land har adekvat skyddsnivå, kan lagar och regler ändras så att de inte har adekvat skyddsnivå i framtiden. Därför är det bra att hålla koll på när IMY uppdaterar listan, om man överför personuppgifter till något av länderna som framgår där.
Ett företag kan behöva vidta skyddsåtgärder när de överför personuppgifter till tredjeland. Till exempel genom att göra en riskanalys och konsekvensbedömning för dataöverföring. På engelska är denna bedömning kallad för en Transfer Impact Assessment (TIA).
