Överföra personuppgifter till 3:e land
Att överföra personuppgifter till tredjeland inom universitet- och högskolesektorn
Allmänt om tredjelandsöverföringar av personuppgifter
Rätten till skydd av privatliv, kommunikationer (telefon, e-post, internetanvändning etc.) och personuppgifter finns i EU-stadgan. Överföring av personuppgifter till tredjeland får, enligt artikel 44 GDPR, bara ske under förutsättning att villkoren i kapitel V i GDPR är uppfyllda.[1]
Europeiska dataskyddsstyrelsen (EDPB) har angivit nivån på skyddet av personuppgifter för EU-medborgare i fyra så kallade nödvändiga garantier:
- Uppgifter bör behandlas utifrån tydliga, precisa och tillgängliga bestämmelser.
- Nödvändighet och proportionalitet ska säkerställas för legitima mål.
- En oberoende tillsynsmekanism bör finnas.
- Enskilda personer ska ha tillgång till effektiva rättsmedel.
Dessa garantier måste respekteras och får bara begränsas för uppgifter som inte går utöver vad som är nödvändigt och proportionellt i ett demokratiskt samhälle.
Överföring av personuppgifter med stöd av undantagsbestämmelser
I GDPR finns ett antal bestämmelser som, i vissa situationer, möjliggör tredjelandsöverföringar av personuppgifter. Nedan följer en förenklad beskrivning av dessa. De undantagsregler som kan vara tillämpliga inom högskolesektorn finns i artikel 49. Vad du som ansvarig för överföringen behöver beakta framgår av den elektroniska rutin som finns längst ner i texten här.
Artikel 45.
EU-kommissionen kan besluta om att länder har en så kallad ”adekvat skyddsnivå” för personuppgifter. Överföring av personuppgifter till länder som har en adekvat skyddsnivå möter inga hinder. För närvarande är tolv länder helt eller delvis berörda av ett sådant beslut:
- Andorra
- Argentina
- Canada (delvis)
- Färöarna
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Nya Zealand
- Schweiz
- Storbritannien (juni 2021)
- Sydkorea (december 2021)
- Uruguay
- USA (10 juli 2023) under förutsättning att mottagare av personuppgifter ansluter sig till EU-US Data Privacy Framework
Den adekvata skyddsnivån följs upp löpande och länder som omfattas av beslut eller är under utredning kan variera över tid. I länken här finns en uppdaterad lista på länder med adekvat skyddsnivå.
Artikel 46.
Om lagstadgade rättigheter och effektiva rättsmedel finns för registrerade i mottagarlandet (dataimportören) och om den personuppgiftsansvarige (PuA) har vidtagit lämpliga skyddsåtgärder som skyddar behandlingen får personuppgifter överföras.
Exempel:
- bi- eller multilaterala avtal,
- bindande företagsbestämmelser (BCR), art 47 – inte aktuell för lärosäten
- standardavtalsklausuler (SCC),
- olika certifieringsmekanismer och/eller
- särskilda beslut från medlemsländer eller deras nationella tillsynsmyndigheter.
Artikel 46 konstituerar EU:s regelverk - Standardavtalsklausuler (SCC) som kan användas som överföringsmekanism för överföring av personuppgifter till tredjeland.
Artikel 47.
Nationella tillsynsmyndigheter (Integritetsskyddsmyndigheten i Sverige), kan enligt vissa kriterier besluta om företagsspecifika regler för skydd av personuppgifter inom t.ex. en global koncern, (Binding Corporate Rules). - Artikeln är inte aktuell för lärosäten.
Artikel 48.
Reglerar överföring av personuppgifter till tredje land som ett led i rättslig samverkan (t.ex. internationell rättshjälp i förundersökningar i brottmål) och som grundar sig på internationella överenskommelser. - Artikeln är inte aktuell för lärosäten.
Artikel 49.
Reglerar när överföringar av personuppgifter får göras i särskilda enskilda situationer, t.ex. genom uttryckliga samtycken från registrerade, när överföringen görs i den registrerades eget intresse, för att uppfylla avtalsvillkor eller för ett viktigt allmänt intresse.
Artikeln förutsätter att överföringarna uppfyller nödvändighetsrekvisitet och att de inte görs repetitivt.
[1] Det tål att påminnas om att det inte anses vara en överföring av personuppgifter enbart på den grund att en webbsida innehållande personuppgifter är tillgänglig från tredje land, under förutsättning att webbsidan är placerad inom EU. Se EU-domstolens dom den 6 november 2003 i mål nr C-101/01