Webbläsaren som du använder stöds inte av denna webbplats. Alla versioner av Internet Explorer stöds inte längre, av oss eller Microsoft (läs mer här: * https://www.microsoft.com/en-us/microsoft-365/windows/end-of-ie-support).

Var god och använd en modern webbläsare för att ta del av denna webbplats, som t.ex. nyaste versioner av Edge, Chrome, Firefox eller Safari osv.

Överföring av personuppgifter utanför EU och EES

Genom dataskyddsförordningen har alla länder som är medlemmar i EU ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna (Europeiska ekonomiska samarbetsområdet).

Personuppgifter får bara överföras till länder utanför EU/EES (så kallade tredje länder) om vissa villkor i dataskyddsförordningen är uppfyllda. Anledningen är att skyddsnivån som garanteras i dataskyddsförordningen inte får försämras vid överföringen. Det är också viktigt att veta att möjligheten att komma åt personuppgifter från ett tredje land räknas som en överföring, även om uppgifterna lagras inom EU/EES

Du hittar mer information och exempel på vad som är en tredjelandsöverföring genom att läsa på Integritetsmyndighetens webbplats, imy.se.

Nedan beskrivs de två vanligaste förutsättningarna när universitetet överväger att överföra personuppgifter till länder utanför EU/EES. Om dessa förutsättningar inte kan användas kan du kontakta dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se) för vägledning om andra alternativ.

1. Adekvat skyddsnivå

EU-kommissionen har beslutat att vissa länder utanför EU/EES har en adekvat skyddsnivå för personuppgifter. Det betyder att dessa länder har ett skydd för personuppgifter som motsvarar det skydd som finns inom EU. Om ett land har en adekvat skyddsnivå kan personuppgifter överföras dit på samma sätt som inom EU/EES.

Se Integritetsskyddsmyndighetens lista med godkända länder på Integritetsskyddsmyndighetens webbplats, imy.se.

2. Standardavtalsklausuler

Ett annat alternativ är att universitetet säkerställer ett tillräckligt skydd för uppgifterna. Detta kan göras på olika sätt, och här behandlas standardavtalsklausuler. Det innebär att universitetet och mottagaren ingår avtal med standardiserade villkor som EU-kommissionen har godkänt. Dessa villkor anger parternas rättigheter och skyldigheter när det gäller personuppgifterna..

Läs mer om standardavtalsklausuler och länkar till klausulerna på Integritetsmyndighetens webbplats, imy.se

Innan universitetet som personuppgiftsansvarig beslutar om standardavtalsklausuler kan användas, måste det först bedöma skyddet för personuppgifterna i det eller de länder de förs över till. Detta kan göras med hjälp av information från mottagaren och genom att utvärdera behovet av kompletterande skyddsåtgärder.

Först efter denna bedömning kan universitetet avgöra om standardavtalsklausulerna och eventuella kompletterande skyddsåtgärder ger tillräckligt skydd för personuppgifterna i mottagarlandet.

Bedömningen av om personuppgifter lagligen kan överföras till tredje land ska dokumenteras.. 

Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu.

Särskilt om överföring för forskningsändamål

Pseudonymisering kan under vissa förutsättningar vara en kompletterande skyddsåtgärd som kan förbättra skyddsnivån i mottagarlandet. För att pseudonymisering ska vara en giltig skyddsåtgärd måste alla fem krav som anges nedan vara uppfyllda.

  1. Personuppgifterna är behandlade på ett sätt som innebär att de inte längre kan hänföras till en specifik registrerad (person), och inte heller användas för att identifiera en registrerad i en grupp registrerade, utan att kompletterande uppgifter används,
  2. De kompletterande uppgifterna förvaras enbart hos universitetet och förvaras separat från de uppgifter som anges i punkt 1,
  3. De kompletterande uppgifterna förvaras inom EU/EES eller i ett land med adekvat skyddsnivå,
  4. De kompletterande uppgifterna är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte kan kopplas till en identifierbar fysisk person, t.ex. 
    • förhindrar röjande och obehörig åtkomst till de kompletterande uppgifterna
    • säkerställer att universitetet ensamt behåller kontroll över den algoritm/verktyg som möjliggör re-identifiering med hjälp av den kompletterande informationen
  5. Universitetet har analyserat och bedömt, mot bakgrund av information som myndigheter i det mottagande landet kan ha tillgång till, att det inte går att hänföra personuppgifterna till en identifierad eller identifierbar person även vid användning av sådan ytterligare information.

Bedömningen av om personuppgifter lagligen kan föras över till tredje land ska dokumenteras.

Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu.

Brexit

EU-kommissionen har beslutat om adekvat skyddsnivå avseende Storbritannien och landet har förts upp på Integritetsskyddsmyndighetens lista över länder som har en adekvat skyddsnivå, se ovan vid Mekanism 1 Adekvat skyddsnivå.

EU-kommissionen har fattat beslut om adekvat skyddsnivå för USA

Enligt beslutet säkerställer USA en adekvat skyddsnivå som är jämförbar med EU:s för personuppgifter som överförs från EU till amerikanska företag enligt EU-US Data Privacy Framework.

Genom EU-US Data Privacy Framework införs nya bindande säkerhetsåtgärder för att åtgärda alla de problem som EU-domstolen har tagit upp, bland annat genom att de amerikanska underrättelsemyndigheternas tillgång till uppgifter från EU begränsas till vad som är nödvändigt och proportionerligt och genom att en dataskyddsdomstol inrättas som EU-medborgare kan vända sig till.

Amerikanska företag kommer att kunna ansluta sig till EU-US Data Privacy Framework genom att åta sig att följa en detaljerad uppsättning integritetsskyldigheter.

Observera att beslutet bara gäller de företag som har certifierat sig enligt ramverket. Kontakta gärna oss på dataskydd via dataskyddsombud [at] lu [dot] se om du har frågor. 

Läs mer om beslutet på Integritetsskyddsmyndighetens hemsida (Länk öppnas i nytt fönster) 

 

Kontakt

Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB och kontaktperson hos Secure State Cyber AB är Sanja Hebib.

Har du frågor om dataskydd - kontakta:

dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)