Genom GDPR har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Överföring av personuppgifter inom EU/EES är därför oftast oproblematiskt utifrån GDPR. Det kan dock finnas andra omständigheter som måste beaktas vid överföringar utanför Sverige, exempelvis om uppgifterna omfattas av sekretess.
Gå direkt till:
Överföring av personuppgifter till USA
Exempel på situationer när personuppgifter överförs till tredje land
- När du skickar personuppgifter till en mottagare i ett land utanför EU/EES.
- När du skickar dokument som innehåller personuppgifter per e-post till någon i ett land utanför EU/EES.
- När universitetet anlitar ett personuppgiftsbiträde i ett land utanför EU/EES.
- När du ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES. T.ex. vid en supporttjänst.
- När du lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
- När du lagrar personuppgifter, till exempel på en server, i ett land utanför EU/EES.
Överföring av personuppgifter till länder utanför EU/EES
Överföring av personuppgifter till andra länder än EU/EES-länder, så kallade tredjelandsöverföringar, får endast ske under särskilda förutsättningar. Skälet är att den nivå på skyddet som garanteras i GDPR inte får försämras i och med överföringen till tredje land. Huvudregeln är att överföring till tredje land eller internationell organisation bara är tillåten om det före överföringen kan konstateras att det föreligger adekvat skyddsnivå. Det är EU-kommissionen som beslutar om adekvat skyddsnivå föreligger. Här finner du en lista över säkra länder. Om det saknas beslut om adekvat skyddsnivå måste lämpliga skyddsåtgärder vidtas, till exempel att EU kommissionens standardavtalsklausuler tecknas tillsammans med ytterligare skyddsåtgärder som pseudonymisering av personuppgifterna. Det finns även vissa undantag som kan vara tillämpliga men dessa är sällan tillämpliga för universitetet och kommer därför inte beskrivas närmare här.
Det sker kontinuerligt förändringar vad gäller överföring av personuppgifter till vissa länder och det kan därför vara bra att kontinuerligt kontrollera EU-kommissionens beslut.
Överföring av personuppgifter till USA
Den 16 juli 2020 ogiltigförklarades Privacy Shield, den tidigare överenskommelsen om överföring av personuppgifter från EU till USA av EU-domstolen. Beslutet motiverades bland annat med att EU:s grundläggande fri- och rättigheter inte kunde upprätthållas med hänsyn till USA:s möjligheter till massövervakning. Domen innebar att överföring av personuppgifter till USA som gjordes med hänvisning till Privacy Shield sedan den 16 juli 2020 inte längre var laglig.
Den 10 juli 2023 fattade EU-kommissionen ett nytt beslut om att USA har adekvat skyddsnivå vad gäller överföringar till organisationer som omfattas av "EU-US Data Privacy Framework". Adekvansbeslutet baserades på att USA vidtagit åtgärder för att läka de brister som EU-domstolen pekade på i sitt avgörande från juli 2020. Åtgärderna har bestått i att begränsa amerikansk underrättelsetjänsts tillgång till personuppgifter och genom att etablera en ny mekanism göra det möjligt för EU-medborgare att söka rättelse.
Integritetsskyddsmyndigheten (IMY) har tagit fram information gällande EU-kommissionen beslut om adekvat skyddsnivå för USA.
EU-kommissionen har meddelat att de kommer att se över adekvansbeslutet från den 10 juli 2024 när det varit i kraft i ett år. Detta för att kontrollera om alla relevanta delar har införts i det amerikanska regelverket och att det fungerar på ett ändamålsenligt sätt i praktiken.
Umeå universitet kommer tillsvidare fortsatt ha en restriktiv hållning till amerikanska molntjänster. Universitetet undviker på så sätt inlåsning i tjänster som blir svåra att lämna om beslutet snabbt ändras eller om organisationen som erbjuder tjänsten inte längre skulle komma att omfattas av EU-US Data Privacy Framework.
Rekommendationer gällande överföring av personuppgifter till USA
- Använd enbart molntjänster som universitetet fattat beslut om och där universitetet aktivt arbetar med säkerhetsåtgärder.
- Överföring av personuppgifter av skyddsklass 1 och 2 enligt informationsklassning kan föras över till USA förutsatt att nödvändiga säkerhetsåtgärder kan uppfyllas.
- Personuppgifter av skyddsklass 3-4 enligt informationsklassning ska tillsvidare inte föras över till USA oavsett EU-kommissionens beslut om inte ytterligare skyddsåtgärder kan vidtas.
- Följ utvecklingen. Universitetet avser att återkomma med aktuell information angående hur läget utvecklas.
Kontakta pulo@umu.se om du vill veta mer.
Vad är EU kommissionens standardavtalsklausuler?
Om adekvat skyddsnivå inte föreligger är det vanligaste sättet att vidta lämpliga skyddsåtgärder att Umeå universitet och mottagaren i tredje land/internationella organisationen undertecknar ett särskilt avtal som innehåller EU kommissionens standardavtalsklausuler (Standard Contractual Clauses).
Standardavtalsklausulernas syfte är att säkra de registrerade individernas rättigheter så att deras personliga integritet inte kränks. Innehållet i standardavtalsklausulerna ger de registrerade individerna rättigheter när det kommer till den behandling som sker av deras personuppgifter.
Standardavtalsklausulerna upprättas av universitetsjurist och undertecknas av universitetsdirektör när avtalet har accepterats av mottagaren i tredje land eller den internationella organisationen. Kontakta universitetsjurist i god tid för att ni så snart som möjligt ska kunna få avtalet klart.
Ytterligare frågor kring överföring av personuppgifter utomlands?
När du planerar att skicka personuppgifter till ett tredje land eller en internationell organisation, kontakta alltid universitetsjurist för att få hjälp med bedömningen av hur vi kan göra detta på ett lagligt sätt.
Mer information finns på Integritetsskyddsmyndigheten sida om tredjelandsöverföring.
Kontakta universitetsjurist med dina funderingar genom att skicka din fråga till pulo@umu.se