Vad gäller egentligen nu för överföring av personuppgifter till tredje land, tex USA?
Huvudregeln i GDPR/Dataskyddsförordningen är att så kallad tredjelandsöverföring (överföring av personuppgifter till ett land utanför EU/EES) är förbjuden.
Det land som det främst handlar om när vi talar om problem vid tredjelandsöverföring är USA på grund av problematiken som uppstod efter Schrems 2 och då vi i vår vardag nästan uteslutande använder oss av amerikanska molntjänster. Det finns idag ett beslut av EU-kommissionen där USA bedöms ha s.k adekvat skyddsnivå om mottagaren har anslutit sig till Data Privacy Framework, som kan sägas vara en ersättare till den tidigare privacy shield. Det som rekommenderas tillsvidare är dock att ha en alternativ överföringsmekanism t.ex. genom att använda de senast antagna standardavtalsklausulerna, men även dessa har ifrågasatts som inte tillräckliga. Hur ett framtida beslut från EU-kommissionen kan komma att se ut är mycket ovisst och lagligheten av överföring av personuppgifter till USA är under ständig revidering.
Tänk också på att i och med Storbritanniens utträde ur EU, Brexit, betraktas landet som ett tredjeland enligt GDPR. Till skillnad mot USA så har dock EU-kommissionen fattat beslut om adekvat skyddsnivå för överföring av personuppgifter till Storbritannien. Detta innebär att Storbritannien har en tillräckligt hög skyddsnivå och att personuppgifter får föras över dit utan något särskilt tillstånd.
Ni kan läsa mer om tredjelandsöverföringar här Överföring till tredjeland | IMY