Vad gäller egentligen nu för överföring av personuppgifter till tredje land, tex USA?
Huvudregeln i GDPR/Dataskyddsförordningen är att så kallad tredjelandsöverföring (överföring av personuppgifter till ett land utanför EU/EES) är förbjuden.
Det land som det främst handlar om när vi talar om problem vid tredjelandsöverföring är USA på grund av problematiken som uppstod efter Schrems 2 och då vi i vår vardag nästan uteslutande använder oss av amerikanska molntjänster. I dagsläget finns ingen, av EU godkänd, överföringsmekanism likt den tidigare använda privacy shield för överföring av personuppgifter till USA. Förhandlingar pågår för ett transatlantiskt ramverk, men än så länge är en sådan överenskommelse långt borta. Det som rekommenderas tillsvidare är att använda de senast antagna standardavtalsklausulerna, men även dessa har ifrågsatts som inte tillräckliga.
Tänk också på att i och med Storbritanniens utträde ur EU, Brexit, betraktas landet som ett tredjeland enligt GDPR. Till skillnad mot USA så har dock EU-kommissionen fattat beslut om adekvat skyddsnivå för överföring av personuppgifter till Storbritannien. Detta innebär att Storbritannien har en tillräckligt hög skyddsnivå och att personuppgifter får föras över dit utan något särskilt tillstånd.
Ni kan läsa mer om tredjelandsöverföringar här Överföring till tredjeland | IMY