Javascript är avstängt eller blockerat i din webbläsare. Detta kan leda till att vissa delar av vår webbplats inte fungerar som de ska. Sätt på javascript för optimal funktionalitet och utseende.

Webbläsaren som du använder stöds inte av denna webbplats. Alla versioner av Internet Explorer stöds inte längre, av oss eller Microsoft (läs mer här: * https://www.microsoft.com/en-us/microsoft-365/windows/end-of-ie-support).

Var god och använd en modern webbläsare för att ta del av denna webbplats, som t.ex. nyaste versioner av Edge, Chrome, Firefox eller Safari osv.

Överföring av personuppgifter utanför EU och EES

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna (Europeiska ekonomiska samarbetsområdet).

Överföring av personuppgifter till andra länder (s.k. ”tredje land") får endast ske enligt vissa mekanismer som finns beskrivna i dataskyddsförordningen. Skälet är att den skyddsnivå som garanteras i dataskyddsförordningen inte får försämras i och med överföringen till tredje land. Redan det faktum att det finns åtkomst till personuppgifter från tredje land innebär en tredjelandsöverföring, även om lagring sker inom EU/EES.

Du hittar mer information och exempel på vad som är en tredjelandsöverföring genom att läsa på Integritetsmyndighetens webbplats, imy.se

Nedan beskrivs de två mekanismer som oftast är aktuella när universitetet överväger att föra över personuppgifter till tredje land. Om de mekanismer som finns beskrivna här inte är tillämpliga kan dataskyddsombudet kontaktas för vägledning om det kan finnas andra alternativ.

Mekanism 1: Adekvat skyddsnivå

EU-kommissionen har beslutat att ett antal tredje länder har en s.k. adekvat skyddsnivå. Det innebär att mottagarlandets rättsordning bedöms ha ett skydd för personuppgifter som i allt väsentligt motsvarar det skydd som finns inom EU. Om mottagarlandet har en adekvat skyddsnivå går det bra att föra över personuppgifter dit på samma sätt som personuppgifter kan föras över inom EU/EES.

Se Integritetsskyddsmyndighetens lista med godkända länder på Integritetsskyddsmyndighetens webbplats, imy.se.

Mekanism 2: Standardavtalsklausuler

Ett annat alternativ är att universitet säkerställer ett tillräckligt skydd för uppgifterna. Det kan göras på olika sätt, det alternativ som behandlas här är s.k. standardavtalsklausuler. Det innebär att universitetet och mottagaren ingår avtal som innehåller ett antal standardiserade klausuler som EU-kommissionen har godkänt och som anger rättigheter och skyldigheter för parterna med avseende på personuppgifterna.

Läs mer om standardavtalsklausuler och länkar till klausulerna på Integritetsmyndighetens webbplats, imy.se 

Innan universitetet i egenskap av personuppgiftsansvarig tar ställning till om standardavtalsklausuler kan användas måste det först bedöma

  1. skyddet för personuppgifterna i det eller de länder som de förs över till, vilket kan göras med stöd av information från mottagaren, och
  2. eventuella behov av kompletterande skyddsåtgärder.

Först mot bakgrund av denna bedömning kan universitetet avgöra om standardavtalsklausulerna samt eventuella kompletterande skyddsåtgärder ger personuppgifterna ett tillräckligt skydd i det mottagande landet.

Bedömningen av om personuppgifter lagligen kan föras över till tredje land ska dokumenteras.

Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu

Särskilt om överföring för forskningsändamål

Pseudonymisering kan under vissa förutsättningar vara en kompletterande skyddsåtgärd som kan avhjälpa brister i mottagarlandets skyddsnivå. För att pseudonymisering ska utgöra en giltig kompletterande skyddsåtgärd behöver samtliga fem krav som anges nedan vara uppfyllda.

  1. Personuppgifterna är behandlade på ett sätt som innebär att de inte längre kan hänföras till en specifik registrerad (person), och inte heller användas för att identifiera en registrerad i en grupp registrerade, utan att kompletterande uppgifter används,
  2. De kompletterande uppgifterna förvaras enbart hos universitetet och förvaras separat från de uppgifter som anges i punkt 1,
  3. De kompletterande uppgifterna förvaras inom EU/EES eller i ett land med adekvat skyddsnivå,
  4. De kompletterande uppgifterna är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte kan kopplas till en identifierbar fysisk person, t.ex.
    • förhindrar röjande och obehörig åtkomst till de kompletterande uppgifterna
    • säkerställer att universitetet ensamt behåller kontroll över den algoritm/verktyg som möjliggör re-identifiering med hjälp av den kompletterande informationen
  1. Universitetet har analyserat och bedömt, mot bakgrund av information som myndigheter i det mottagande landet kan ha tillgång till, att det inte går att hänföra personuppgifterna till en identifierad eller identifierbar person även vid användning av sådan ytterligare information.

Bedömningen av om personuppgifter lagligen kan föras över till tredje land ska dokumenteras.

Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu

Brexit

EU och Storbritannien kom i december överens om ett handels- och samarbetsavtal. I detta finns en tilläggstid på fyra plus två månader från årsskiftet 2020/2021, under vilken personuppgiftsansvariga och personuppgiftsbiträden fortfarande kan överföra personuppgifter till Storbritannien. Överföringen av personuppgifter mellan EU- och EES-området och Storbritannien kan alltså fortsatta i nuvarande form fram till halvårsskiftet.

Privacy Shield – inte längre giltigt

Enligt en dom från EU-domstolen 16 juli 2020 är Privacy Shield inte längre giltigt. ”Privacy Schield” var en certifieringsmekanism, som möjliggjorde överföringar från EU till mottagare i USA som anslutit sig till Privacy Shield. Det innebär att överföringar inte längre kan göras lagligt med stöd av Privacy Shield.

Kontakt

Vid frågor om personuppgifter och dataskydd, kontakta:

Kristin Asgermyr
Dataskyddsombud, jurist
dataskyddsombud [at] lu [dot] se
+46 46 222 04 26

Övergripande frågor om materialet besvaras av dataskyddsombudet på dataskyddsombud [at] lu [dot] se

Frågor om tolkning av avtalsvillkor besvaras av den jurist som normalt ger juridiskt stöd till fakulteten/avdelningen.

Frågor om informationssäkerhet kan ställas till informationssakerhet [at] lu [dot] se