Meny

Javascript verkar inte påslaget? - Vissa delar av Lunds universitets webbplats fungerar inte optimalt utan javascript, kontrollera din webbläsares inställningar.
Du är här

Överföring av personuppgifter till så kallat tredje land

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Personuppgifter kan därför överföras fritt inom detta område utan några begränsningar.

Överföring av personuppgifter till andra länder än EU/EES-länder ("tredje land") får endast ske under särskilda förutsättningar. Skälet är att den nivå på skyddet som garanteras i dataskyddsförordningen inte får försämras i och med överföringen till tredje land. Huvudregeln är att överföring till tredje land inte får ske om inte överföringen är tillåten med stöd av någon av följande mekanismer.

  1. Jurisdiktionen där mottagaren av personuppgifterna är belägen anses ha en adekvat nivå på skyddet av personuppgifter. 

    Det finns en lista på Datainspektionens webbplats med godkända länder - klicka här.

    Sedan 1 augusti 2016 är det tillåtet att föra över personuppgifter till mottagare i USA som anslutit sig till Privacy Shield. Det är en omförhandlad överenskommelse om integritetsskydd och skydd för personuppgifter mellan EU och USA, som ersatt föregångaren Safe Harbor. Den innefattar dels ett antal särskilda principer om hur personuppgifter som förs över från EU till USA ska hanteras, dels olika slags översynsmekansimer för att se tll att principerna följs. Företag i USA som följer principerna och vill ansluta sig anmäler sig till amerikanska handelsministeriet som ska upprätthålla en lista över dessa företag. 
     
  2. Organisation som överför personuppgifter lägger på plats tillräckligt skydd för uppgifterna (lämpliga skyddsåtgärder). Exempel på sådana lämpliga skyddsåtgärder är i) standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, ii) sk standardavtalsklausuler, iii) ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter och organ, t ex sk samförståndsavtal, iv) bindande företagsbestämmelser som godkänts av tillsynsmyndigheten samt v) godkänd uppförandekod/certifiering. 
     
  3. Ett undantag är tillämpligt (undantag förknippade med villkor för särskilda situationer och enstaka fall). Denna mekanism behandlas inte här då den sällan bör bli tillämplig för universitetet.

 

Aktuella frågor (januari 2020)

Generellt

För närvarande ligger två mål i EU-domstolen för avgörande som potentiellt kan medföra förändringar på området. Det ena målet gäller frågan om de standardavtalsklausuler som EU-kommissionen har godkänt vid överföring av personuppgifter till tredje land är tillräckliga för att skydda EU-medborgares privata uppgifter från amerikanska underättelsetjänster (Schrems II). I det andra målet ifrågasätts om Privacy Shield upprätthåller EU:s grundläggande fri- och rättigheter med hänsyn till USA:s möjligheter till massövervakning och därmed ifrågasätts giltigheten av Privacy Shield. Målen förväntas avgöras under 2020. 

Om utgången i målen ovan blir att EU-kommissionens beslut om standardklausuler och/eller Privacy Shield skulle anses ogiltigt, kan universitetet omgående behöva se över och omreglera hur data överförs till länder utanför EU/EES. Även om besluten skulle anses giltiga finns dock en risk för att det kommer att ställas mer uttalade krav på universitetet som exportör att göra en bedömning av om personuppgifterna kommer hanteras tillräckligt säkert i tredje land. Sannolikt kommer även Datainspektionen ha ett ökat fokus på frågan i sin tillsyn.

Brexit

Storbrittanien lämnade EU 31 januari 2020 och just nu föreligger en övergångsperiod till 31 december 2020. Under övergångsperioden har Storbrittanien åtagit sig att följa dataskyddsförordningen. Förhandlingar har inletts i syfte att undersöka förutsättningarna för att EU-kommissionen ska kunna besluta om en adekvat skyddsnivå gällande Storbrittanien. I den mån ett sådant beslut inte skulle vara på plats den 31 december 2020 måste universitetet säkerställa en annan mekanism för att överföring av personuppgifter till Storbrittanien ska vara tillåten. Ett sådant alternativ är att införa standardavstalsklausuler i avtalet med mottagaren av personuppgifterna.

Sidansvarig:

Kontakt

Vid frågor om personuppgifter och dataskydd, kontakta:

Kristin Asgermyr
Dataskyddsombud, jurist
dataskyddsombud [at] lu [dot] se
+46 46 222 04 26

Telefon: 046-222 00 00 (växel)
Postadress: Box 117, 221 00 LUND
Organisationsnummer: 202100-3211
Fakturaadress: Box 188, 221 00 LUND

Webbplatsansvarig: medarbetarwebben [at] lu [dot] se
Om den här webbplatsen