Överföring av personuppgifter utanför EU och EES
Genom dataskyddsförordningen har alla länder som är medlemmar i EU ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna (Europeiska ekonomiska samarbetsområdet).
Personuppgifter får bara överföras till länder utanför EU/EES (så kallade tredje länder) om vissa villkor i dataskyddsförordningen är uppfyllda. Anledningen är att skyddsnivån som garanteras i dataskyddsförordningen inte får försämras vid överföringen. Det är också viktigt att veta att möjligheten att komma åt personuppgifter från ett tredje land räknas som en överföring, även om uppgifterna lagras inom EU/EES
Nedan beskrivs de två vanligaste förutsättningarna när universitetet överväger att överföra personuppgifter till länder utanför EU/EES. Om dessa förutsättningar inte kan användas kan du kontakta dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se) för vägledning om andra alternativ.
1. Adekvat skyddsnivå
EU-kommissionen har beslutat att vissa länder utanför EU/EES har en adekvat skyddsnivå för personuppgifter. Det betyder att dessa länder har ett skydd för personuppgifter som motsvarar det skydd som finns inom EU. Om ett land har en adekvat skyddsnivå kan personuppgifter överföras dit på samma sätt som inom EU/EES.
2. Standardavtalsklausuler
Ett annat alternativ är att universitetet säkerställer ett tillräckligt skydd för uppgifterna. Detta kan göras på olika sätt, och här behandlas standardavtalsklausuler. Det innebär att universitetet och mottagaren ingår avtal med standardiserade villkor som EU-kommissionen har godkänt. Dessa villkor anger parternas rättigheter och skyldigheter när det gäller personuppgifterna..
Innan universitetet som personuppgiftsansvarig beslutar om standardavtalsklausuler kan användas, måste det först bedöma skyddet för personuppgifterna i det eller de länder de förs över till. Detta kan göras med hjälp av information från mottagaren och genom att utvärdera behovet av kompletterande skyddsåtgärder.
Först efter denna bedömning kan universitetet avgöra om standardavtalsklausulerna och eventuella kompletterande skyddsåtgärder ger tillräckligt skydd för personuppgifterna i mottagarlandet.
Bedömningen av om personuppgifter lagligen kan överföras till tredje land ska dokumenteras..
Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu.
Särskilt om överföring för forskningsändamål
Pseudonymisering kan under vissa förutsättningar vara en kompletterande skyddsåtgärd som kan förbättra skyddsnivån i mottagarlandet. För att pseudonymisering ska vara en giltig skyddsåtgärd måste alla fem krav som anges nedan vara uppfyllda.
- Personuppgifterna är behandlade på ett sätt som innebär att de inte längre kan hänföras till en specifik registrerad (person), och inte heller användas för att identifiera en registrerad i en grupp registrerade, utan att kompletterande uppgifter används,
- De kompletterande uppgifterna förvaras enbart hos universitetet och förvaras separat från de uppgifter som anges i punkt 1,
- De kompletterande uppgifterna förvaras inom EU/EES eller i ett land med adekvat skyddsnivå,
- De kompletterande uppgifterna är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte kan kopplas till en identifierbar fysisk person, t.ex.
- förhindrar röjande och obehörig åtkomst till de kompletterande uppgifterna
- säkerställer att universitetet ensamt behåller kontroll över den algoritm/verktyg som möjliggör re-identifiering med hjälp av den kompletterande informationen
- Universitetet har analyserat och bedömt, mot bakgrund av information som myndigheter i det mottagande landet kan ha tillgång till, att det inte går att hänföra personuppgifterna till en identifierad eller identifierbar person även vid användning av sådan ytterligare information.
Bedömningen av om personuppgifter lagligen kan föras över till tredje land ska dokumenteras.
Läs mer på den Europeiska dataskyddsstyrelsens webbplats, edpb.europa.eu.
Brexit
EU-kommissionen har beslutat om adekvat skyddsnivå avseende Storbritannien och landet har förts upp på Integritetsskyddsmyndighetens lista över länder som har en adekvat skyddsnivå, se ovan vid Mekanism 1 Adekvat skyddsnivå.
EU-kommissionen har fattat beslut om adekvat skyddsnivå för USA
Enligt beslutet säkerställer USA en adekvat skyddsnivå som är jämförbar med EU:s för personuppgifter som överförs från EU till amerikanska företag enligt EU-US Data Privacy Framework.
Genom EU-US Data Privacy Framework införs nya bindande säkerhetsåtgärder för att åtgärda alla de problem som EU-domstolen har tagit upp, bland annat genom att de amerikanska underrättelsemyndigheternas tillgång till uppgifter från EU begränsas till vad som är nödvändigt och proportionerligt och genom att en dataskyddsdomstol inrättas som EU-medborgare kan vända sig till.
Amerikanska företag kommer att kunna ansluta sig till EU-US Data Privacy Framework genom att åta sig att följa en detaljerad uppsättning integritetsskyldigheter.
Observera att beslutet bara gäller de företag som har certifierat sig enligt ramverket. Kontakta gärna oss på dataskydd via dataskyddsombud [at] lu [dot] se om du har frågor.
Läs mer om beslutet på Integritetsskyddsmyndighetens hemsida (Länk öppnas i nytt fönster)
Kontakt
Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB och kontaktperson hos Secure State Cyber AB är Sanja Hebib.
Har du frågor om dataskydd - kontakta:
dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)