Webbläsaren som du använder stöds inte av denna webbplats. Alla versioner av Internet Explorer stöds inte längre, av oss eller Microsoft (läs mer här: * https://www.microsoft.com/en-us/microsoft-365/windows/end-of-ie-support).

Var god och använd en modern webbläsare för att ta del av denna webbplats, som t.ex. nyaste versioner av Edge, Chrome, Firefox eller Safari osv.

Överföring av personuppgifter utanför EU och EES

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna (Europeiska ekonomiska samarbetsområdet).

Överföring av personuppgifter till andra länder (s.k. ”tredje land") får endast ske enligt vissa mekanismer som finns beskrivna i dataskyddsförordningen. Skälet är att den skyddsnivå som garanteras i dataskyddsförordningen inte får försämras i och med överföringen till tredje land. Redan det faktum att det finns åtkomst till personuppgifter från tredje land innebär en tredjelandsöverföring, även om lagring sker inom EU/EES.

Du hittar mer information och exempel på vad som är en tredjelandsöverföring genom att läsa på Integritetsmyndighetens webbplats, imy.se.

Nedan beskrivs de två mekanismer som oftast är aktuella när universitetet överväger att föra över personuppgifter till tredje land. Om de mekanismer som finns beskrivna här inte är tillämpliga kan dataskyddsombudet kontaktas för vägledning om det kan finnas andra alternativ.

Mekanism 1: Adekvat skyddsnivå

EU-kommissionen har beslutat att ett antal tredje länder har en s.k. adekvat skyddsnivå. Det innebär att mottagarlandets rättsordning bedöms ha ett skydd för personuppgifter som i allt väsentligt motsvarar det skydd som finns inom EU. Om mottagarlandet har en adekvat skyddsnivå går det bra att föra över personuppgifter dit på samma sätt som personuppgifter kan föras över inom EU/EES.

Se Integritetsskyddsmyndighetens lista med godkända länder på Integritetsskyddsmyndighetens webbplats, imy.se.

Mekanism 2: Standardavtalsklausuler

Ett annat alternativ är att universitet säkerställer ett tillräckligt skydd för uppgifterna. Det kan göras på olika sätt, det alternativ som behandlas här är s.k. standardavtalsklausuler. Det innebär att universitetet och mottagaren ingår avtal som innehåller ett antal standardiserade klausuler som EU-kommissionen har godkänt och som anger rättigheter och skyldigheter för parterna med avseende på personuppgifterna.

Läs mer om standardavtalsklausuler och länkar till klausulerna på Integritetsmyndighetens webbplats, imy.se

Innan universitetet i egenskap av personuppgiftsansvarig tar ställning till om standardavtalsklausuler kan användas måste det först bedöma

  1. skyddet för personuppgifterna i det eller de länder som de förs över till, vilket kan göras med stöd av information från mottagaren, och
  2. eventuella behov av kompletterande skyddsåtgärder.

Först mot bakgrund av denna bedömning kan universitetet avgöra om standardavtalsklausulerna samt eventuella kompletterande skyddsåtgärder ger personuppgifterna ett tillräckligt skydd i det mottagande landet.

Bedömningen av om personuppgifter lagligen kan föras över till tredje land ska dokumenteras.

Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu.

Särskilt om överföring för forskningsändamål

Pseudonymisering kan under vissa förutsättningar vara en kompletterande skyddsåtgärd som kan avhjälpa brister i mottagarlandets skyddsnivå. För att pseudonymisering ska utgöra en giltig kompletterande skyddsåtgärd behöver samtliga fem krav som anges nedan vara uppfyllda.

  1. Personuppgifterna är behandlade på ett sätt som innebär att de inte längre kan hänföras till en specifik registrerad (person), och inte heller användas för att identifiera en registrerad i en grupp registrerade, utan att kompletterande uppgifter används,
  2. De kompletterande uppgifterna förvaras enbart hos universitetet och förvaras separat från de uppgifter som anges i punkt 1,
  3. De kompletterande uppgifterna förvaras inom EU/EES eller i ett land med adekvat skyddsnivå,
  4. De kompletterande uppgifterna är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte kan kopplas till en identifierbar fysisk person, t.ex.
    • förhindrar röjande och obehörig åtkomst till de kompletterande uppgifterna
    • säkerställer att universitetet ensamt behåller kontroll över den algoritm/verktyg som möjliggör re-identifiering med hjälp av den kompletterande informationen
  1. Universitetet har analyserat och bedömt, mot bakgrund av information som myndigheter i det mottagande landet kan ha tillgång till, att det inte går att hänföra personuppgifterna till en identifierad eller identifierbar person även vid användning av sådan ytterligare information.

Bedömningen av om personuppgifter lagligen kan föras över till tredje land ska dokumenteras.

Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu.

Brexit

EU-kommissionen har beslutat om adekvat skyddsnivå avseende Storbritannien och landet har förts upp på Integritetsskyddsmyndighetens lista över länder som har en adekvat skyddsnivå, se ovan vid Mekanism 1 Adekvat skyddsnivå.

Privacy Shield – inte längre giltigt

Enligt en dom från EU-domstolen 16 juli 2020 är Privacy Shield inte längre giltigt. ”Privacy Schield” var en certifieringsmekanism, som möjliggjorde överföringar från EU till mottagare i USA som anslutit sig till Privacy Shield. Det innebär att överföringar inte längre kan göras lagligt med stöd av Privacy Shield.

Kontakt

Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB och kontaktperson hos Secure State Cyber AB är Sanja Hebib.

Har du frågor om dataskydd - kontakta:

dataskyddsombud [at] lu [dot] se