Överföring av personuppgifter till tredje land
2020-11-17
(English below)
Genom EU-domstolens dom i mål C-311/18 (Schrems II) har det regelverk som tidigare möjliggjort överföringar av personuppgifter till USA med stöd av Privacy Shield ogiltigförklarats. Fr.o.m. den 16 juli 2020 går det inte längre att överföra personuppgifter till USA med stöd av Privacy Shield. För anställda inom forskning och utbildning vid Uppsala universitet gäller därför att de överföringar som baseras på Privacy Shield måste identifieras och upphöra med omedelbar verkan.
I domen konstaterade EU-domstolen även att de skyddsåtgärder som framgår av EU-kommissionens standardavtalsklausuler fortsatt är giltiga och att sådana kan användas vid överföring av personuppgifter till länder utanför EU/EES men att det kan behövas ytterligare skyddsåtgärder utöver standardavtalsklausulerna.
Med anledning av Schrems II har rektor idag fattat beslut om att inga nya överföringar av personuppgifter till tredje land får göras om den som är ansvarig för överföringen inte dokumenterat och kontrollerat att överföringen är förenlig med dataskyddsförordningen. Vad gäller befintliga avtal och samarbeten ska den som är ansvarig för överföringen kartlägga överföringen och vidta åtgärder för att säkerställa att överföringen är förenlig med dataskyddsförordningen. För anställda inom forskning och utbildning vid Uppsala universitet innebär beslutet att överföringar av personuppgifter till tredje land måste dokumenteras.
Förtydligande
Personuppgifter: Alla uppgifter om en fysiskt levande person som gör att individen kan identifieras.
Tredje land: Länder utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet.
Överföring av personuppgifter till tredje land: Innebär att personuppgifterna blir tillgängliga för någon utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet.
Regelverk för överföringar till tredje land:
- Privacy Shield: Avtal mellan EU och USA om skydd för personuppgifter. Efter Schrems II är det inte längre tillåtet att överföra personuppgifter till USA med stöd av Privacy Shield.
- Standardavtalsklausuler (SCC): EU-kommissionen har godkänt vissa standardavtalsklausuler. Om du ingår avtal med någon utanför EU/EES och avtalet innehåller dessa standardavtalsklausuler kan det vara tillåtet att överföra personuppgifter till dem, efter en bedömning om det behövs kompletterande skyddsåtgärder.
- Bindande företagsbestämmelser (Binding Corporate Rules, BCR): Regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin behandling av personuppgifter. Bindande företagsbestämmelser måste godkännas av Datainspektionen eller någon annan tillsynsmyndighet i EU.
”Säkra länder”: EU-kommissionens har beslutat om länder med adekvat skyddsnivå. Beslutet innebär att du får överföra personuppgifter dit utan något särskilt tillstånd. Följande länder finns på listan:
- Andorra
- Argentina
- Bailiwick of Guernsey
- Färöarna
- Isle of Man
- Israel
- Japan
- Jersey
- Kanada (delvis)
- Nya Zeeland
- Schweiz
- Uruguay
Kompletterande skyddsåtgärder:
- Pseudonymisering: Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan hänföras till en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte kan kopplas till en identifierbar fysisk person.
- Särskilt skydd av data hos mottagaren: Personuppgifter som hos mottagaren i tredjeland t.ex. skyddas av särskilda lagar för sekretess för medicinska uppgifter om enskilds hälsotillstånd.
- Stark kryptering: Om tredjelandsöverföringar görs i syfte att t.ex. skapa säkerhetskopior, back-up hos en mottagare skall den tekniska skyddsnivån vara av mycket hög nivå. Det gäller programvara för kryptering av filer, starka krypteringsalgoritmer, säkra lösenord etc.
- - -
Transfer of personal data to third countries
2020-11-17
The judgment of the Court of Justice of the European Union (CJEU) in case C-311/18 (Schrems II) has invalidated the regulatory framework that previously made it possible to transfer personal data to the United States under the Privacy Shield. With effect from 16 July 2020, personal data can no longer be transferred to the United States under the Privacy Shield. Consequently, research and teaching staff at Uppsala University must identify transfers based on the Privacy Shield and stop them immediately.
In its judgment, the CJEU found that the safeguards offered by the European Commission’s standard contractual clauses remain valid and can be used for the transfer of personal data to countries outside the EU/EEA. However, additional safeguards may be needed over and above the standard contractual clauses.
In view of the Schrems II judgment, the Vice-Chancellor decided today that no new transfers of personal data to third countries are allowed unless the person responsible for the transfer has checked and documented that the transfer is compatible with the General Data Protection Regulation (GDPR). With regard to existing agreements and collaborations, anyone responsible for a transfer of data must monitor the transfer and take measures to ensure that it is compatible with the GDPR. The decision means that research and teaching staff at Uppsala University must document transfers of personal data to third countries.
Clarification
Personal data: Any information about a physical living person which allows the individual to be identified.
Third country: Countries outside the European Union and the European Economic Area.
Transfer of personal data to third countries: Meaning that personal data is accessible for someone outside the European Union and the European Economic Area.
Regulations concerning transfers to third country
- Privacy Shield: Agreement between the European Union and the US regarding the protection of personal data. Following Schrems II it is not allowed to transfer personal data to the US based on Privacy Shield.
- Standard contractual clauses (SCC): The European Commission has approved some standard contractual clauses. If you enter into an agreement with someone outside EU/EEA and the agreement contain these standard contractual clauses it may be permitted to transfer personal data, after an assessment whether any additional safeguards may be needed.
- Binding corporate rules (BCR): Rules that a group with companies in several different countries can draw up to define its processing of personal data. Binding corporate rules must be approved by the Swedish Data Protection Authority or another supervisory authority within the European Union.
”Safe countries”: The European Commission has adopted a decision regarding countries with an adequate level of protection. The decision allows you to transfer personal data without any particular permission. The following countries are on the list:
- Andorra
- Argentina
- Canada (commercial organisations)
- Guernsey
- Färöarna (Faroe Islands)
- Isle of Man
- Israel
- Japan
- Jersey
- Nya Zeeland
- Schweiz
- Uruguay
Additional safeguards:
- Pseudonymization: Processing of personal data in a way that the data no longer can be attributed to a specific registered person without using additional information, provided that this additional information is stored separately and under technical and organizational measures which ensures that the personal data no longer can be attributed to an identifiable natural person.
- Special protection of data at the recipient: Personal data is specifically protected by the third country’s law, e.g. for the purpose of jointly provide medical treatment for a patient.
- Strong encryption: If third country transfers are being made with the purpose of e.g. creating backups at the recipient, the level of technical protection must be adequate to its purpose. This applies to software for encrypting files, strong encryption algorithms, secure passwords, etc.