Överföring av personuppgifter till så kallat tredje land

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Personuppgifter kan därför överföras fritt inom detta område utan några begränsningar.

Överföring av personuppgifter till andra länder än EU/EES-länder ("tredje land") får endast ske under särskilda förutsättningar. Skälet är att den nivå på skyddet som garanteras i dataskyddsförordningen inte får försämras i och med överföringen till tredje land. Huvudregeln är att överföring till tredje land endast får ske om överföringen är tillåten med stöd av någon av följande mekanismer.

  1. Jurisdiktionen där mottagaren av personuppgifterna är belägen anses ha en adekvat nivå på skyddet av personuppgifter. EU-kommissionen har beslutat att ett antal tredje länder har en s.k. adekvat skyddsnivå. Det innebär att mottagarlandets rättsordning bedöms ha ett skydd för personuppgifter som i allt väsentligt motsvarar det skydd som finns inom EU. Om mottagarlandet har en adekvat skyddsnivå går det bra att föra över personuppgifter dit på samma sätt som personuppgifter kan föras över inom EU/EES. Se Integritetsskyddsmyndighetens lista med godkända länder på Integritetsskyddsmyndighetens webbplats, imy.se, som du når genom att klicka här (öppnas i samma fönster). 
  2. Om det inte finns ett beslut om adekvat skyddsnivå kan det finnas möjlighet att föra över personuppgifter till tredje land om universitetet på annat sätt säkerställer tillräckligt skydd för uppgifterna (lämpliga skyddsåtgärder). Exempel på sådana lämpliga skyddsåtgärder är a) standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, så kallade standardavtalsklausuler, b) ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter och organ, till exempel så kallade samförståndsavtal, c) bindande företagsbestämmelser som godkänts av tillsynsmyndigheten samt d) en godkänd uppförandekod/certifiering. Mekanismen standardavtalsklausuler (2.a)) innebär att universitetet och mottagaren ingår ett avtal som innehåller ett antal standardiserade klausuler som EU-kommissionen har godkänt och som anger rättigheter och skyldigheter för parterna med avseende på personuppgifterna. Dessa standardavtalsklausuler får inte användas slentrianmässigt. Först behöver skyddet för personuppgifterna i det/de länders rättsordning som de förs över till och behov av kompletterande skyddsåtgärder bedömas. Det finns mer information om detta längre ner på sidan under rubriken Aktuella frågor.   

  3. Ett undantag är tillämpligt (undantag förknippade med villkor för särskilda situationer och enstaka fall). Denna mekanism behandlas inte här då den sällan bör bli tillämplig för universitetet.

Du kan hitta mer information och exempel på vad som är en tredjelandsöverföring genom att läsa på Integritetsmyndighetens webbplats, imy.se, som du når genom att klicka här (öppnas i samma fönster)

Privacy Shield

Det fanns tidigare en certifieringsmekanism, ”Privacy Shield”, som möjliggjorde överföringar från EU till mottagare i USA som anslutit sig till Privacy Shield. Enligt en dom från EU-domstolen 16 juli 2020 är Privacy Shield inte längre giltig. Det innebär att överföringar inte längre kan göras lagligt med stöd av Privacy Shield.

Brexit

Extra tid för överföring av personuppgifter till Storbritannien efter att brexit-övergångsperioden gått ut.

EU och Storbritannien har i sitt handels- och samarbetsavtal kommit överens om en tilläggstid på fyra månader, under vilken personuppgiftsansvariga och personuppgiftsbiträden fortfarande kan överföra personuppgifter till Storbritannien. Tilläggstiden kan förlängas med två månader, om inte någondera parten motsätter sig förlängningen. Överföringen av personuppgifter mellan EU- och EES-området och Storbritannien kan alltså fortsatta i nuvarande form fram till utgången av tilläggstiden.

EU-kommissionen uppger att man strävar efter att fatta beslut om adekvat skyddsnivå för personuppgifter i Storbritannien. Med hjälp av tilläggstiden för överföring av personuppgifter säkerställs kontinuiteten i överföringen av uppgifter efter att handels- och samarbetsavtalet mellan EU och Storbritannien trätt i kraft, då beredningen av beslut om adekvat skyddsnivå fortfarande pågår.

Om EU-kommissionen bedömer att dataskyddsnivån i Storbritannien är adekvat, kommer kommissionens beslut om adekvat skyddsnivå att vara de primära grunderna för överföring av personuppgifter i framtiden. Tilläggstiden går ut före den utsatta tiden på sex månader, ifall kommissionens beslut om adekvat skyddsnivå godkänns före det.

En förutsättning för tilläggstiden är att den dataskyddslagstiftning som tillämpas i Storbritannien vid brexit-övergångsperiodens utgång förblir oförändrad under denna tid.

Tilläggstiden för överföring av personuppgifter startar när handels- och samarbetsavtalet träder i kraft.

Aktuella frågor

Användning av standardavtalsklausuler (dec 2020)

Av en dom i EU-domstolen 16 juli 2020 (Schrems II) och efterföljande rekommendationer från Europeiska dataskyddsstyrelsen i november följer att standardavtalsklausuler inte får användas slentrianmässigt. Universitetet i egenskap av personuppgiftsansvarig måste först bedöma

1) skyddet för personuppgifterna i det eller de länders rättsordning som de förs över till, och

2) eventuella behov av kompletterande skyddsåtgärder.

Först mot bakgrund av denna bedömning kan universitetet avgöra om standardavtalsklausulerna samt eventuella kompletterande skyddsåtgärder ger personuppgifterna ett tillräckligt skydd i det mottagande landet.

Dataskyddsombudet avråder från att ingå nya avtal med överföringar till tredje land utan en föregående bedömning enligt ovan som även har dokumenterats.

Europeiska dataskyddsstyrelsens rekommendationer har varit på konsultation och väntas bli slutligt antagna under våren 2021. Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu, som du når genom att klicka här (öppnas i samma fönster).

Särskilt om överföring för forskningsändamål (jan 2021)

Enligt Europeiska dataskyddsstyrelsens rekommendationer kan pseudonymisering under vissa förutsättningar vara en kompletterande skyddsåtgärd som kan avhjälpa brister i mottagarlandets skyddsnivå. För att pseudonymisering ska utgöra en giltig kompletterande skyddsåtgärd behöver samtliga fem krav som anges nedan vara uppfyllda.

  1. Personuppgifterna är behandlade på ett sätt som innebär att de inte längre kan hänföras till en specifik registrerad, och inte heller användas för att identifiera en registrerad i en grupp registrerade, utan att kompletterande uppgifter används,
  2. De kompletterande uppgifterna förvaras enbart hos universitetet och förvaras separat från de uppgifter som anges i punkt 1,
  3. De kompletterande uppgifterna förvaras inom EU/EES eller i ett land med adekvat skyddsnivå,
  4. De kompletterande uppgifterna är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte kan kopplas till en identifierbar fysisk person, t.ex.
    • förhindrar röjande och obehörig åtkomst till de kompletterande uppgifterna
    • säkerställer att universitetet ensamt behåller kontroll över den algoritm/verktyg som möjliggör re-identifiering med hjälp av den kompletterande informationen
  1. Universitetet har analyserat och bedömt, mot bakgrund av information som myndigheter i det mottagande landet kan ha tillgång till, att det inte går att hänföra personuppgifterna till en identifierad eller identifierbar person även vid användning av sådan ytterligare information.

Bedömningen av om personuppgifter lagligen kan föras över till tredje land ska dokumenteras.

Kartläggning av överföringar till tredje land (aug 2020)

Mot bakgrund av EU-domstolens dom 16 juli och risken att det inte finns ett beslut om adekvat skyddsnivå för Storbritannien 31 december 2020, har dataskyddsombudet i augusti rekommenderat en genomgång av vilka överföringar som förekommer till tredje land med prioritering av överföringar till USA och Storbritannien. Ombudet avrådde vidare från att ingå nya avtal med överföringar till USA i avvaktan på mer vägledning kring rättsläget.

Följande vägledning lämnades om hur kartläggningen kan genomföras.

Kartlägg överföringar till USA och Storbritannien – hur gör du?

  1. Vilka överföringar ska identifieras?

De överföringar som behöver identifieras är överföringar av personuppgifter som universitetet gör som personuppgiftsansvarig och där personuppgifterna blir åtkomliga/tillgängliga för någon i USA eller Storbritannien. Nedan anges några exempel.

  • LU använder ett personuppgiftsbiträde som är etablerat i dessa länder. 
    Detsamma gäller om LU använder en licensierad tjänst och licensgivaren är etablerad i dessa länder
  • LU använder ett personuppgiftsbiträde som är etablerat i EU (med servrar eller molntjänst baserad i EU) men personuppgiftsbiträdesavtalet tillåter att viss personuppgiftsbehandling till exempel får ske hos ett dotterbolag, en underleverantör eller i molntjänst baserad i dessa länder.
    Motsvarande gäller om LU använder en licensierad tjänst
  • Dokument med personuppgifter e-postas till någon i dessa länder
  • Forskare överför data med personuppgifter till ett universitet i dessa länder som LU samarbetar med.
  • Utbildningssamarbeten såsom studentutbyten med lärosäten i dessa länder

Om ni är osäkra – inkludera överföringen.

2. Vem identifierar överföringen?

  • Varje systemägare ansvarar för att identifiera överföringar till dessa länder som görs i hens system. Läs mer i förvaltningens verksamhetsplan vem som är systemägare, denna når du genom att klicka på länken nedan. 
    Verksamhetsplan 2019 för Lunds universitet (öppnas i samma fönster)
  • Fakulteterna behöver fokusera på forskningssamarbeten med parter i dessa länder och de systemlösningar och tjänster som ägs och finansieras vid fakulteten.

3.  Vad behöver kartläggas för varje identifierad personuppgiftsöverföring till USA och Storbritannien?

  • Följ den framtagna mallen med anvisningar för vilken information som ska inkluderas.
    Ladda ner mallen genom att klicka här (PPT, 23 kB, nytt fönster).
  • Som framgår av mallen är det viktigt att undersöka motpartens inställning. Under fliken Anvisningar i mallen finns också länk till brevmallar som kan användas för detta ändamål.

Kontakt

Vid frågor om personuppgifter och dataskydd, kontakta:

Kristin Asgermyr
Dataskyddsombud, jurist
dataskyddsombud [at] lu [dot] se
+46 46 222 04 26

Övergripande frågor om materialet besvaras av dataskyddsombudet på dataskyddsombud [at] lu [dot] se

Frågor om tolkning av avtalsvillkor besvaras av den jurist som normalt ger juridiskt stöd till fakulteten/avdelningen.

Frågor om informationssäkerhet kan ställas till informationssakerhet [at] lu [dot] se