Dataskydd

Tredjelandsöverföring enligt GDPR: regler och SCC 2026

Tredjelandsöverföring enligt GDPR: adekvansbeslut, EU-US Data Privacy Framework, standardavtalsklausuler och överföringsanalys efter Schrems II.

Also available in:English·Français·Deutsch·Español

En tredjelandsöverföring – att personuppgifter görs tillgängliga i ett land utanför EU/EES – är tillåten enligt GDPR bara om ett av de mekanismer som anges i kapitel V finns på plats. Reglerna framgår av artiklarna 44–49 i dataskyddsförordningen. Det räcker inte med en rättslig grund för själva behandlingen; överföringen kräver ett eget stöd. Den här guiden går igenom adekvansbeslut, EU-US Data Privacy Framework, standardavtalsklausuler med överföringsanalys och vad Schrems II innebär för svenska företag – med IMY:s Google Analytics-beslut som varning.

Viktigaste punkterna

  • En överföring till tredjeland kräver stöd i kapitel V – utöver en vanlig rättslig grund för behandlingen.
  • Adekvansbeslut (art. 45) är enklast; för USA gäller EU-US Data Privacy Framework för certifierade företag.
  • Utan adekvans krävs standardavtalsklausuler (SCC) plus en överföringsanalys (transfer impact assessment).
  • IMY fällde 2023 Tele2 (12 MSEK) och CDON (300 000 kr) för olagliga USA-överföringar via Google Analytics.

Vad är en tredjelandsöverföring?

En överföring sker när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES. Det gäller inte bara aktiv utskickning av data – att lagra uppgifter hos en molnleverantör vars personal i USA kan komma åt dem är också en överföring. Även fjärråtkomst från ett tredjeland räknas. Detta gör att många svenska företag överför uppgifter utan att inse det, exempelvis genom amerikanska molntjänster, analysverktyg eller supportsystem.

De tre mekanismerna i kapitel V

Kapitel V bygger på en trappa. Du väljer den första som passar:

1. Adekvansbeslut (artikel 45)

Om EU-kommissionen har beslutat att ett land har en adekvat skyddsnivå får uppgifter överföras dit utan ytterligare åtgärder, precis som inom EU. Länder med adekvansbeslut inkluderar bland andra Schweiz, Storbritannien, Japan, Kanada (delvis) och Sydkorea. En uppdaterad lista finns på EU-kommissionens sida.

2. EU-US Data Privacy Framework

För USA gäller sedan juli 2023 ett särskilt adekvansbeslut, EU-US Data Privacy Framework (DPF). Det innebär att uppgifter får överföras till amerikanska företag som är certifierade under ramverket, utan ytterligare skyddsåtgärder. Kontrollera alltid att den specifika mottagaren finns med på Data Privacy Framework-listan – beslutet gäller bara certifierade företag, inte USA generellt.

3. Lämpliga skyddsåtgärder (artikel 46)

Saknas adekvans är den vanligaste lösningen standardavtalsklausuler (SCC) – förhandsgodkända avtalsvillkor från EU-kommissionen. Andra alternativ är bindande företagsbestämmelser (BCR) för koncerninterna överföringar. Vid enstaka överföringar kan undantagen i artikel 49 (t.ex. uttryckligt samtycke eller avtalsnödvändighet) användas, men de ska tolkas restriktivt.

Schrems II och överföringsanalysen

I Schrems II-domen (C-311/18, 2020) ogiltigförklarade EU-domstolen det tidigare Privacy Shield-ramverket och slog fast att standardavtalsklausuler inte räcker på egen hand. Du måste dessutom göra en överföringsanalys (transfer impact assessment, TIA): en bedömning av om lagstiftningen i mottagarlandet – särskilt myndigheters åtkomstmöjligheter – undergräver skyddet i SCC:erna. Om den gör det måste du vidta kompletterande åtgärder, typiskt kryptering där du behåller nycklarna, pseudonymisering eller att dela upp uppgifterna.

Även efter DPF kvarstår TIA:n som krav när du förlitar dig på SCC i stället för adekvansbeslutet. Bedömningen ska dokumenteras och kopplas till behandlingen i din registerförteckning.

IMY:s Google Analytics-beslut: den svenska vändpunkten

Det tydligaste svenska exemplet är IMY:s beslut i juli 2023 efter klagomål från organisationen noyb. IMY granskade fyra bolags användning av Google Analytics och konstaterade att den innebar en olaglig överföring av personuppgifter till USA, eftersom de tekniska skyddsåtgärderna inte var tillräckliga för att hindra amerikansk underrättelseåtkomst. Utfallet:

Bolag Sanktionsavgift Överträdelse
Tele2 12 miljoner kr Olaglig USA-överföring via Google Analytics
CDON 300 000 kr Samma överträdelse, mindre omfattning

Lärdomen är att analysverktyg och andra “gratis” amerikanska tjänster ofta är den dolda källan till olagliga överföringar. Besluten fattades innan DPF fått fullt genomslag, men de visar hur IMY ser på transatlantiska dataflöden och varför en TIA behövs för varje amerikansk leverantör som inte är DPF-certifierad. Bedömningen är särskilt kritisk för SaaS- och e-handelsbolag med analysdrivna stackar.

DPF löser inte allt

Ett vanligt missförstånd efter att EU-US Data Privacy Framework trädde i kraft är att alla USA-överföringar nu är oproblematiska. Så är det inte, av tre skäl. För det första gäller adekvansbeslutet bara mottagare som faktiskt är certifierade under ramverket – använder du en leverantör som inte finns på listan är du tillbaka på standardavtalsklausuler och TIA. För det andra täcker en leverantörs certifiering inte automatiskt dess amerikanska underleverantörer; du måste följa hela kedjan. För det tredje är DPF, precis som Privacy Shield före det, föremål för rättslig prövning – en framtida “Schrems III” kan ändra förutsättningarna, och en klok organisation dokumenterar därför sina överföringar så att den snabbt kan byta mekanism om beslutet skulle falla.

Det innebär att SCC med en genomförd överföringsanalys ofta är den mest hållbara grunden även när DPF finns tillgängligt, eftersom den inte står och faller med ett enskilt kommissionsbeslut. För organisationer som vill minska sin exponering helt är alternativet att välja europeiska leverantörer eller att kräva att data lagras och behandlas uteslutande inom EU/EES. Kostnaden för att kartlägga och styra detta beskrivs närmare i vår kostnadsguide för GDPR-verktyg, eftersom leverantörsinventeringen är den tunga posten i arbetet.

Så bygger du en hållbar överföringsrutin

En praktisk rutin för tredjelandsöverföringar innehåller fyra steg:

  1. Kartlägg alla överföringar – inklusive molnlagring och fjärråtkomst.
  2. Identifiera mekanism per överföring: adekvans, DPF eller SCC.
  3. Gör en TIA där SCC används och dokumentera kompletterande åtgärder.
  4. Reglera i avtal – överföringen ska framgå av personuppgiftsbiträdesavtalet med underbiträden.

Att hålla den här kartan aktuell när leverantörskedjorna ändras är svårt manuellt. En plattform som Legiscope knyter varje leverantör till dess överföringsmekanism och TIA, så att du snabbt ser var stödet saknas när en leverantör byter underbiträde.

Vanliga frågor

Är det tillåtet att använda amerikanska molntjänster efter Schrems II?

Ja, men bara med rätt mekanism. Är leverantören certifierad under EU-US Data Privacy Framework får uppgifter överföras med stöd av adekvansbeslutet. Är den inte certifierad krävs standardavtalsklausuler plus en överföringsanalys och eventuella kompletterande åtgärder som kryptering.

Räknas molnlagring inom EU som en tredjelandsöverföring?

Inte i sig, om uppgifterna lagras och behandlas inom EU/EES. Men om leverantörens personal eller underbiträden i tredjeland kan komma åt uppgifterna via support eller fjärråtkomst, är det en överföring som kräver stöd i kapitel V. Kontrollera var leverantören faktiskt har åtkomst ifrån.

Vad är en överföringsanalys (TIA)?

En överföringsanalys är en dokumenterad bedömning av om skyddsnivån i mottagarlandet, särskilt myndigheters åtkomst, undergräver standardavtalsklausulerna. Krävs efter Schrems II när du förlitar dig på SCC. Visar analysen brister måste du vidta kompletterande skyddsåtgärder eller avstå från överföringen.

Kan vi använda samtycke som grund för en överföring?

Undantaget i artikel 49.1 a tillåter överföring med den registrerades uttryckliga samtycke efter information om riskerna. Det ska dock tolkas restriktivt och passar bara enstaka, icke-återkommande överföringar – inte som huvudlösning för löpande dataflöden till en molnleverantör.

Slutsats

Tredjelandsöverföring kräver ett eget stöd utöver den rättsliga grunden: adekvansbeslut, EU-US Data Privacy Framework eller standardavtalsklausuler med en överföringsanalys. Schrems II gjorde TIA:n obligatorisk, och IMY:s Google Analytics-beslut visar att även vardagliga verktyg kan utlösa olagliga överföringar. Kartlägg dina dataflöden, välj rätt mekanism per överföring och dokumentera bedömningen – annars är risken att en “gratis” tjänst blir den dyraste posten i budgeten. Utgå från att du sannolikt överför mer data till tredjeland än du tror: molntjänster, e-postplattformar, supportverktyg och analysskript för uppgifter ut ur EU utan att det syns i vardagen. En årlig genomgång av leverantörskedjan, med kontroll av var varje aktör faktiskt behandlar och kan komma åt data, är den enskilt viktigaste åtgärden för att hålla kapitel V under kontroll.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →