Överföring av personuppgifter till andra länder (s.k. ”tredje land") får endast ske enligt vissa förutsättningar som finns beskrivna i dataskyddsförordningen. Skälet är att den skyddsnivå som garanteras i dataskyddsförordningen inte får försämras i och med överföringen till tredje land. Det är viktigt att notera att själva möjligheten till att komma åt personuppgifter från ett tredje land utgör en överföring till ett tredje land, även om själva lagringen av uppgifterna sker inom EU/EES.

Du hittar mer information och exempel på vad som är en tredjelandsöverföring genom att läsa på Integritetsmyndighetens webbplats, imy.se.

Nedan beskrivs de två förutsättningar som oftast är aktuella när universitetet överväger att föra över personuppgifter till tredje land. Om de förutsättningar som finns beskrivna här inte är tillämpliga kan dataskyddsombudet kontaktas för vägledning om det kan finnas andra alternativ.

1. Adekvat skyddsnivå

EU-kommissionen har beslutat att ett antal tredje länder har en s.k. adekvat skyddsnivå. Det innebär att mottagarlandets rättsordning bedöms ha ett skydd för personuppgifter som i allt väsentligt motsvarar det skydd som finns inom EU. Om mottagarlandet har en adekvat skyddsnivå går det bra att föra över personuppgifter dit på samma sätt som personuppgifter kan föras över inom EU/EES.

Se Integritetsskyddsmyndighetens lista med godkända länder på Integritetsskyddsmyndighetens webbplats, imy.se.

2. Standardavtalsklausuler

Ett annat alternativ är att universitet säkerställer ett tillräckligt skydd för uppgifterna. Det kan göras på olika sätt, det alternativ som behandlas här är s.k. standardavtalsklausuler. Det innebär att universitetet och mottagaren ingår avtal som innehåller ett antal standardiserade villkor som EU-kommissionen har godkänt och som anger rättigheter och skyldigheter för parterna med avseende på personuppgifterna.

Läs mer om standardavtalsklausuler och länkar till klausulerna på Integritetsmyndighetens webbplats, imy.se. 

Innan universitetet i egenskap av personuppgiftsansvarig tar ställning till om standardavtalsklausuler kan användas måste det först bedöma

1. skyddet för personuppgifterna i det eller de länder som de förs över till, vilket kan göras med stöd av information från mottagaren, och
2. eventuella behov av kompletterande skyddsåtgärder.

Först mot bakgrund av denna bedömning kan universitetet avgöra om standardavtalsklausulerna samt eventuella kompletterande skyddsåtgärder ger personuppgifterna ett tillräckligt skydd i det mottagande landet.

Bedömningen av om personuppgifter lagligen kan föras över till tredje land ska dokumenteras.

Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu.

Särskilt om överföring för forskningsändamål

Pseudonymisering kan under vissa förutsättningar vara en kompletterande skyddsåtgärd som kan avhjälpa brister i mottagarlandets skyddsnivå. För att pseudonymisering ska utgöra en giltig kompletterande skyddsåtgärd behöver samtliga fem krav som anges nedan vara uppfyllda.

1. Personuppgifterna är behandlade på ett sätt som innebär att de inte längre kan hänföras till en specifik registrerad (person), och inte heller användas för att identifiera en registrerad i en grupp registrerade, utan att kompletterande uppgifter används,
2. De kompletterande uppgifterna förvaras enbart hos universitetet och förvaras separat från de uppgifter som anges i punkt 1,
3. De kompletterande uppgifterna förvaras inom EU/EES eller i ett land med adekvat skyddsnivå,
4. De kompletterande uppgifterna är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte kan kopplas till en identifierbar fysisk person, t.ex.
   • förhindrar röjande och obehörig åtkomst till de kompletterande uppgifterna
   • säkerställer att universitetet ensamt behåller kontroll över den algoritm/verktyg som möjliggör re-identifiering med hjälp av den kompletterande informationen

5. Universitetet har analyserat och bedömt, mot bakgrund av information som myndigheter i det mottagande landet kan ha tillgång till, att det inte går att hänföra personuppgifterna till en identifierad eller identifierbar person även vid användning av sådan ytterligare information.

Bedömningen av om personuppgifter lagligen kan föras över till tredje land ska dokumenteras.

Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu.

Brexit

EU-kommissionen har beslutat om adekvat skyddsnivå avseende Storbritannien och landet har förts upp på Integritetsskyddsmyndighetens lista över länder som har en adekvat skyddsnivå, se ovan vid Mekanism 1 Adekvat skyddsnivå.

EU-kommissionen har fattat beslut om adekvat skyddsnivå för USA

Enligt beslutet säkerställer USA en adekvat skyddsnivå som är jämförbar med EU:s för personuppgifter som överförs från EU till amerikanska företag enligt EU-US Data Privacy Framework.

Genom EU-US Data Privacy Framework införs nya bindande säkerhetsåtgärder för att åtgärda alla de problem som EU-domstolen har tagit upp, bland annat genom att de amerikanska underrättelsemyndigheternas tillgång till uppgifter från EU begränsas till vad som är nödvändigt och proportionerligt och genom att en dataskyddsdomstol inrättas som EU-medborgare kan vända sig till.

Amerikanska företag kommer att kunna ansluta sig till EU-US Data Privacy Framework genom att åta sig att följa en detaljerad uppsättning integritetsskyldigheter.

Observera att beslutet bara gäller de företag som har certifierat sig enligt ramverket. Kontakta gärna oss på dataskydd via dataskyddsombud [at] lu [dot] se om du har frågor. 

Läs mer om beslutet på Integritetsskyddsmyndighetens hemsida (Länk öppnas i nytt fönster)