Överföring av personuppgifter till så kallat tredje land

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Personuppgifter kan därför överföras fritt inom detta område utan några begränsningar.

Överföring av personuppgifter till andra länder än EU/EES-länder ("tredje land") får endast ske under särskilda förutsättningar. Skälet är att den nivå på skyddet som garanteras i dataskyddsförordningen inte får försämras i och med överföringen till tredje land. Huvudregeln är att överföring till tredje land inte får ske om inte överföringen är tillåten med stöd av någon av följande mekanismer.

  1. Jurisdiktionen där mottagaren av personuppgifterna är belägen anses ha en adekvat nivå på skyddet av personuppgifter.
    Se Datainspektionens lista med godkända länder på Datainspektionens webbplats, datainspektionen.se, som du når genom att klicka här (öppnas i samma fönster).
     
  2. Organisation som överför personuppgifter lägger på plats tillräckligt skydd för uppgifterna (lämpliga skyddsåtgärder). Exempel på sådana lämpliga skyddsåtgärder är a) standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, så kallade standardavtalsklausuler, b) ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter och organ, till exempel så kallade samförståndsavtal, c) bindande företagsbestämmelser som godkänts av tillsynsmyndigheten samt d) godkänd uppförandekod/certifiering. När det gäller standardavtalsklausuler (2.a)) får de inte användas slentrianmässigt. Det krävs att en dokumenterad bedömning har gjorts av skyddet för personuppgifterna i det/de länders rättsordning som de förs över till och, baserat på denna bedömning, behov av kompletterande skyddsåtgärder. Det finns mer information om detta längre ner på sidan.   

  3. Ett undantag är tillämpligt (undantag förknippade med villkor för särskilda situationer och enstaka fall). Denna mekanism behandlas inte här då den sällan bör bli tillämplig för universitetet.

Du kan hitta mer information och exempel på vad som är en tredjelandsöverföring genom att läsa på Datainspektionens webbplats, datainspektionen.se, som du når genom att klicka här (öppnas i samma fönster)

Privacy Shield

Det fanns tidigare en certifieringsmekanism, ”Privacy Shield”, som möjliggjorde överföringar från EU till mottagare i USA som anslutit sig till Privacy Shield. Enligt en dom från EU-domstolen 16 juli 2020 är Privacy Shield inte längre giltig. Det innebär att överföringar inte längre kan göras lagligt med stöd av Privacy Shield.

Brexit

Det finns inte något beslut från EU-kommissionen om adekvat skyddsnivå i Storbritannien. Om ett sådant beslut inte fattas senast 31 december 2020 ska Storbritannien behandlas som ett tredje land från och med 1 januari 2021. Det innebär att universitetet måste säkerställa en annan mekanism för att överföring av personuppgifter till Storbritannien ska vara tillåten, se punkt 2-3 ovan.

Aktuella frågor

Användning av standardavtalsklausuler (dec 2020)

Av EU-domstolens dom 16 juli och efterföljande vägledning från Europeiska dataskyddsstyrelsen i november följer att standardavtalsklausuler inte får användas slentrianmässigt. Universitetet i egenskap av personuppgiftsansvarig måste först bedöma 1) skyddet för personuppgifterna i det eller de länders rättsordning som de förs över till, och 2) eventuella behov av kompletterande skyddsåtgärder. Först mot bakgrund av denna bedömning kan universitetet avgöra om standardavtalsklausulerna samt eventuella kompletterande skyddsåtgärder ger personuppgifterna ett tillräckligt skydd i det mottagande landet.

Dataskyddsombudet avråder från att ingå nya avtal med överföringar till tredje land utan en föregående bedömning enligt ovan som även har dokumenterats.

Kartläggning av överföringar till tredje land (aug 2020)

Mot bakgrund av EU-domstolens dom 16 juli och risken att det inte finns ett beslut om adekvat skyddsnivå för Storbritannien 31 december 2020, har dataskyddsombudet i augusti rekommenderat en genomgång av vilka överföringar som förekommer till tredje land med prioritering av överföringar till USA och Storbritannien. Ombudet avrådde vidare från att ingå nya avtal med överföringar till USA i avvaktan på mer vägledning kring rättsläget.

Följande vägledning lämnades om hur kartläggningen kan genomföras.

Kartlägg överföringar till USA och Storbritannien – hur gör du?

  1. Vilka överföringar ska identifieras?

De överföringar som behöver identifieras är överföringar av personuppgifter som universitetet gör som personuppgiftsansvarig och där personuppgifterna blir åtkomliga/tillgängliga för någon i USA eller Storbritannien. Nedan anges några exempel.

  • LU använder ett personuppgiftsbiträde som är etablerat i dessa länder. 
    Detsamma gäller om LU använder en licensierad tjänst och licensgivaren är etablerad i dessa länder
  • LU använder ett personuppgiftsbiträde som är etablerat i EU (med servrar eller molntjänst baserad i EU) men personuppgiftsbiträdesavtalet tillåter att viss personuppgiftsbehandling till exempel får ske hos ett dotterbolag, en underleverantör eller i molntjänst baserad i dessa länder.
    Motsvarande gäller om LU använder en licensierad tjänst
  • Dokument med personuppgifter e-postas till någon i dessa länder
  • Forskare överför data med personuppgifter till ett universitet i dessa länder som LU samarbetar med.
  • Utbildningssamarbeten såsom studentutbyten med lärosäten i dessa länder

Om ni är osäkra – inkludera överföringen.

2. Vem identifierar överföringen?

  • Varje systemägare ansvarar för att identifiera överföringar till dessa länder som görs i hens system. Läs mer i förvaltningens verksamhetsplan vem som är systemägare, denna når du genom att klicka på länken nedan. 
    Verksamhetsplan 2019 för Lunds universitet (öppnas i samma fönster)
  • Fakulteterna behöver fokusera på forskningssamarbeten med parter i dessa länder och de systemlösningar och tjänster som ägs och finansieras vid fakulteten.

3.  Vad behöver kartläggas för varje identifierad personuppgiftsöverföring till USA och Storbritannien?

  • Följ den framtagna mallen med anvisningar för vilken information som ska inkluderas.
    Ladda ner mallen genom att klicka här (PPT, 23 kB, nytt fönster).
  • Som framgår av mallen är det viktigt att undersöka motpartens inställning. Under fliken Anvisningar i mallen finns också länk till brevmallar som kan användas för detta ändamål.

Kontakt

Vid frågor om personuppgifter och dataskydd, kontakta:

Kristin Asgermyr
Dataskyddsombud, jurist
dataskyddsombud [at] lu [dot] se
+46 46 222 04 26

Övergripande frågor om materialet besvaras av dataskyddsombudet på dataskyddsombud [at] lu [dot] se

Frågor om tolkning av avtalsvillkor besvaras av den jurist som normalt ger juridiskt stöd till fakulteten/avdelningen.

Frågor om informationssäkerhet kan ställas till informationssakerhet [at] lu [dot] se