Överföring av personuppgifter utanför EU/EES

    Om personuppgifter skickas till en mottagare som befinner sig utanför EU/EES området – ett s.k. tredje land – eller till en internationell organisation, gäller särskilda bestämmelser som måste iakttas för att det ska vara tillåtet enligt Dataskyddsförordningen. Kontakta universitetsjurist för rådgivning vid tredjelandsöverföring av personuppgifter.

    Särskild information med anledning av EU-domstolens avgörande i Schrems II 2020-11-11

    Överföring av personuppgifter till så kallat tredje land

    Genom dataskyddsförordningen (GDPR) har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Inom EU är därför överföring av personuppgifter oftast inte problematisk.

    Överföring av personuppgifter till andra länder än EU/EES-länder ("tredje land") får endast ske under särskilda förutsättningar. Skälet är att den nivå på skyddet som garanteras i dataskyddsförordningen inte får försämras i och med överföringen till tredje land. Huvudregeln är att överföring till tredje land bara får ske om överföringen är tillåten med stöd av någon av följande mekanismer.

    1. Landet där mottagaren av personuppgifterna är belägen anses ha en adekvat nivå på skyddet av personuppgifter (EU-kommissionen beslutar, se lista över säkra länder)
    2. Organisationen som överför personuppgifter lägger på plats tillräckligt skydd för uppgifterna (lämpliga skyddsåtgärder). Exempel på sådana lämpliga skyddsåtgärder är standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, så kallade standardavtalsklausuler.
    3. Ett undantag är tillämpligt (undantag förknippade med villkor för särskilda situationer och enstaka fall). Denna mekanism behandlas inte här då den sällan bör bli tillämplig för universitetet.

    Under bara det senaste året har vissa väsentliga förändringar skett vad gäller överföring av personuppgifter till vissa länder, USA (Schrems II) och Storbritannien (Brexit).

    Kort om EU-domstolens avgörande i Schrems II


    Det var tidigare tillåtet att föra över personuppgifter från EU till mottagare i USA som anslutit sig till Privacy Shield (en överenskommelse om integritetsskydd och skydd för personuppgifter mellan EU och USA). Den 16 juli 2020 ogiltigförklarades Privacy Shield av EU-domstolen, bl.a. då den inte bedöms upprätthålla EU:s grundläggande fri- och rättigheter med hänsyn till USA:s möjligheter till massövervakning. Domen innebär att överföring av personuppgifter till USA som görs med hänvisning till Privacy Shield sedan den 16 juli inte längre är laglig.


    Med anledning av EU-domstolens uttalanden råder just nu osäkerhet kring i vilken utsträckning personuppgifter istället kan överföras lagligt till USA baserat på att parterna ingår ett standardavtal som godkänts av EU-kommissionen. Här finns information från Integritetsskyddsmyndigheten rörande domstolsavgörandet.

    Rekommendationer

    • Avvakta tills vidare med nya initiativ som medför att personuppgifter överförs till USA eller som bygger på systemlösningar baserade på amerikanska molntjänster

    • Universitetet kommer att behöva kartlägga befintlig användning av tjänster som kan beröras av det uppkomna läget, närmare anvisningar om hur denna kartläggning ska göras håller på att tas fram. Det är önskvärt att tjänster som kan beröras redan nu identifieras.
    • Följ utvecklingen. Universitetet avser att återkomma med aktuell information angående hur läget utvecklas.

    Kontakta pulo@umu.se om du vill veta mer.

     

    Vad är tredje land?

    Ett tredje land är en stat som inte ingår i Europeiska Unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

    Några exempel på tredje land är USA, Kanada och Australien.

    Norge, Island och Liechtenstein är anslutna till EES och anses därför inte som tredje land. Överföring av personuppgifter till dessa länder hanteras därför på samma sätt som när överföring sker mellan två EU-länder.

    Exempel på situationer när personuppgifter överförs till tredje land

    • När man skickar personuppgifter till en mottagare i ett land utanför EU/EES.
    •  När man skickar dokument som innehåller personuppgifter per e-post till någon i ett land utanför EU/EES.
    • När man anlitar ett personuppgiftsbiträde i ett land utanför EU/EES.
    • När man ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES. T.ex. vid en supporttjänst.
    • När man lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
    • När man lagrar personuppgifter, till exempel på en server, i ett land utanför EU/EES.

     

    Är det tillåtet att skicka personuppgifter till tredje land/internationell organisation?

    Överföring av personuppgifter till ett tredje land/internationell organisation kan ske om man före överföringen:

    1. säkerställer att det finns en adekvat skyddsnivå uppnås för personuppgifterna i mottagarlandet; eller
    2. Vidtar lämpliga skyddsåtgärder enligt Dataskyddsförordningen art 46 (Kommissionens standardavtalsklausuler, bindande företagsbestämmelser, godkända uppförandekoder eller certifieringsmekanismer, rättsligt bindande instrument mellan myndigheter).

    Det finns ytterligare några undantag där överföring får ske, som kan tillämpas i vissa situationer (se Dataskyddsförordningen art 49).

    Hur bedöms om en adekvat skyddsnivå kan uppnås?

    En adekvat skyddsnivå anses föreligga om EU kommissionen har meddelat beslut om att landet har en adekvat skyddsnivå för personuppgifter. Kommissionens beslut finns här.

    Observera att det finns särskilda villkor för Kanada som måste vara uppfyllda för att en adekvat skyddsnivå ska föreligga.

    Observera att om mottagaren agerar personuppgiftsbiträde åt Umeå universitet krävs att universitet ingår ett personuppgiftsbiträdesavtal med mottagaren. Detta gäller således även om en adekvat skyddsnivå anses föreligga.

    Vad är EU kommissionens standardavtalsklausuler?

    Om adekvat skyddsnivå inte föreligger är det vanligaste sättet att vidta lämpliga skyddsåtgärder att Umeå universitet och mottagaren i tredje land/internationella organisationen undertecknar ett särskilt avtal som innehåller EU kommissionens standardavtalsklausuler (Standard Contractual Clauses).

    Standardavtalsklausulernas syfte är att säkra de registrerade individernas rättigheter att inte få sin personliga integritet kränkt. Innehållet i standardavtalsklausulerna ger de registrerade individerna rättigheter när det kommer till den behandling som sker av deras personuppgifter.

    Standardavtalsklausulerna upprättas av universitetsjurist och undertecknas av universitetsdirektör när avtalet har accepterats av mottagaren i tredje land/internationella organisationen. Kontakta universitetsjurist i god tid för att ni så snart som möjligt ska kunna få avtalet klart.

    Ytterligare frågor kring tredjelandsöverföring?

    När du planerar att skicka personuppgifter till ett tredje land/internationell organisation, kontakta alltid universitetsjurist för att få hjälp med bedömningen av hur vi kan göra detta på ett lagligt sätt.

    Mer information finns på Integritetsskyddsmyndigheten sida om tredjelandsöverföring.

     

    Kontakta universitetsjurist med dina funderingar genom att skicka din fråga till pulo@umu.se

     

    Chatarina Wiklund
    2023-02-17