Kartläggning av tredjelandsöverföringar / Inventory of third country transfers

formID_#103

• Här kan du registrera de tredjelandsöverföringar av personuppgifter som du ansvarar för inom ramen för din verksamhet vid Uppsala universitet.

  Du kan behöva granska avtal med tjänsteleverantörer för t.ex. lagring, beräkning, enkäter som du använder i ditt arbete för att kunna svara på frågorna nedan.

  OBS! Läs mer om varför det här är nödvändigt i flik 2. "Information om tredjelandsöverföring" 

  Tack för din hjälp!

  Akademiombudsmannen

  This is a routine for an inventory of third country transfers of personaldata that may be a part of your profession at Uppsala universitet. NB! Please read the information under tab 2.

  Thank you!

• 1. Kontaktuppgifter

  Points of contact

• För- och efternamn
  Name
• E-postadress
  E-mail address
• Institution (motsv.)
  Department (equal)

• 2. Inventering av personuppgiftsöverföringar till tredje land 

  Inventory of third country transfers of personal data

• Överförs personuppgifter utanför EU/EES - - - Nej Ja
  Is personal data transfered outside of EU/EEA
• Om ja, ange vilka länder utanför EU/EES-området personuppgifter överförs till
  If yes, please submit which countries personal data is transferred to outside the EU/EEA-region
• Om nej, du behöver inte fortsätta inventeringen utan kan avsluta nu.
  If No, you don't have to proceed with this inventory.

• 3. Regelverk för överföring av personuppgifter till tredje land

  Läs mer i informationsfliken om de regelverk som styr tredjelandsöverföringar.

  Framework for third country transfers of personal data. Please read the information under tab 2.

• Överföring med stöd av regelverket "Privacy Shield" - - - Nej Ja
  Transfer under the framework of "Privacy Shield"
• Privacy Shield
  Vid frågor vänd dig till din chef. / Transfer is illegal. Please inform your Head of Department.
• Stöd för överföring av personuppgifter - - - BCR SCC Till säkra länder enligt kommissionen
  Transfer under framework
• EU-kommissionens beslut om "säkra länder"
  Om du svarat "Till säkra länder enligt kommissionen" behöver du inte lämna fler uppgifter här. / If transfers are made to countries with Adequacy decisions you don't have to fulfill the Inventory.
  European Commission, Adequacy decisions
• Standardavtalsklausuler (SCC)
  Om du bedömer att mottagarlandets regler (t.ex. kontraterrorism) innebär att nationella myndigheter kan kräva tillgång till personuppgifter hos leverantörer av IT-tjänster får du ej göra överföringen.
  Standard Contractual Clauses (SCC)
• Bindande företagsbestämmelser (BCR)
  Om du bedömer att mottagarlandets regler (t.ex. kontraterrorism) innebär att nationella myndigheter kan kräva tillgång till personuppgifter hos leverantörer av IT-tjänster får du ej göra överföringen.
  Binding Corporate Rules (BCR)
• Om du bedömt att mottagarlandets nationella rätt utgör ett hot mot uppgifterna: ange hur skyddet skall stärkas med kompletterande skyddsåtgärder för adekvat säkerhet. - - - Pseudonymisering Skydd för data hos mottagaren Stark kryptering
  If you assess that national law in the country that data will be transferred to can constitute a threat to personal privacy in the transferred data, please choose the complementary measure that will be taken to enhance the security to an adequate level.
• Om du bedömt att mottagarlandets nationella rätt utgör ett hot mot uppgifterna: ange hur skyddet skall stärkas med kompletterande skyddsåtgärder för adekvat säkerhet. - - - Pseudonymisering Skydd för data hos mottagaren Stark kryptering
  If you assess that national law in the country that data will be tranfered to can constitute a threat to personal privacy in the transfered data, please chose the complementary measure that will be taken to enhance the security to a adequate level.

• Överföring av personuppgifter till tredje land

  2020-11-17

  (English below)

  Genom EU-domstolens dom i mål C-311/18 (Schrems II) har det regelverk som tidigare möjliggjort överföringar av personuppgifter till USA med stöd av Privacy Shield ogiltigförklarats. Fr.o.m. den 16 juli 2020 går det inte längre att överföra personuppgifter till USA med stöd av Privacy Shield. För anställda inom forskning och utbildning vid Uppsala universitet gäller därför att de överföringar som baseras på Privacy Shield måste identifieras och upphöra med omedelbar verkan.

   

  I domen konstaterade EU-domstolen även att de skyddsåtgärder som framgår av EU-kommissionens standardavtalsklausuler fortsatt är giltiga och att sådana kan användas vid överföring av personuppgifter till länder utanför EU/EES men att det kan behövas ytterligare skyddsåtgärder utöver standardavtalsklausulerna.

   

  Med anledning av Schrems II har rektor idag fattat beslut om att inga nya överföringar av personuppgifter till tredje land får göras om den som är ansvarig för överföringen inte dokumenterat och kontrollerat att överföringen är förenlig med dataskyddsförordningen. Vad gäller befintliga avtal och samarbeten ska den som är ansvarig för överföringen kartlägga överföringen och vidta åtgärder för att säkerställa att överföringen är förenlig med dataskyddsförordningen. För anställda inom forskning och utbildning vid Uppsala universitet innebär beslutet att överföringar av personuppgifter till tredje land måste dokumenteras.

   

   

  Förtydligande

  Personuppgifter: Alla uppgifter om en fysiskt levande person som gör att individen kan identifieras.

  Tredje land: Länder utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet.

  Överföring av personuppgifter till tredje land: Innebär att personuppgifterna blir tillgängliga för någon utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet.

  Regelverk för överföringar till tredje land:

   -          Privacy Shield: Avtal mellan EU och USA om skydd för personuppgifter. Efter Schrems II är det inte längre tillåtet att överföra personuppgifter till USA med stöd av Privacy Shield.

   -          Standardavtalsklausuler (SCC): EU-kommissionen har godkänt vissa standardavtalsklausuler. Om du ingår avtal med någon utanför EU/EES och avtalet innehåller dessa standardavtalsklausuler kan det vara tillåtet att överföra personuppgifter till dem, efter en bedömning om det behövs kompletterande skyddsåtgärder.

   -          Bindande företagsbestämmelser (Binding Corporate Rules, BCR): Regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin behandling av personuppgifter. Bindande företagsbestämmelser måste godkännas av Datainspektionen eller någon annan tillsynsmyndighet i EU.

  ”Säkra länder”: EU-kommissionens har beslutat om länder med adekvat skyddsnivå. Beslutet innebär att du får överföra personuppgifter dit utan något särskilt tillstånd. Följande länder finns på listan:

  • Andorra
  • Argentina
  • Bailiwick of Guernsey
  • Färöarna
  • Isle of Man
  • Israel
  • Japan
  • Jersey
  • Kanada (delvis)
  • Nya Zeeland
  • Schweiz
  • Uruguay

   

   

  Kompletterande skyddsåtgärder:

  -          Pseudonymisering: Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan hänföras till en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte kan kopplas till en identifierbar fysisk person.

  -          Särskilt skydd av data hos mottagaren: Personuppgifter som hos mottagaren i tredjeland t.ex. skyddas av särskilda lagar för sekretess för medicinska uppgifter om enskilds hälsotillstånd.

  -          Stark kryptering: Om tredjelandsöverföringar görs i syfte att t.ex. skapa säkerhetskopior, back-up hos en mottagare skall den tekniska skyddsnivån vara av mycket hög nivå. Det gäller programvara för kryptering av filer, starka krypteringsalgoritmer, säkra lösenord etc.

   - - -

  Transfer of personal data to third countries

  2020-11-17

  The judgment of the Court of Justice of the European Union (CJEU) in case C-311/18 (Schrems II) has invalidated the regulatory framework that previously made it possible to transfer personal data to the United States under the Privacy Shield. With effect from 16 July 2020, personal data can no longer be transferred to the United States under the Privacy Shield. Consequently, research and teaching staff at Uppsala University must identify transfers based on the Privacy Shield and stop them immediately.

  In its judgment, the CJEU found that the safeguards offered by the European Commission’s standard contractual clauses remain valid and can be used for the transfer of personal data to countries outside the EU/EEA. However, additional safeguards may be needed over and above the standard contractual clauses.

  In view of the Schrems II judgment, the Vice-Chancellor decided today that no new transfers of personal data to third countries are allowed unless the person responsible for the transfer has checked and documented that the transfer is compatible with the General Data Protection Regulation (GDPR). With regard to existing agreements and collaborations, anyone responsible for a transfer of data must monitor the transfer and take measures to ensure that it is compatible with the GDPR. The decision means that research and teaching staff at Uppsala University must document transfers of personal data to third countries.

   

  Clarification

  Personal data: Any information about a physical living person which allows the individual to be identified.

  Third country: Countries outside the European Union and the European Economic Area.

  Transfer of personal data to third countries: Meaning that personal data is accessible for someone outside the European Union and the European Economic Area.

  Regulations concerning transfers to third country

  - Privacy Shield: Agreement between the European Union and the US regarding the protection of personal data. Following Schrems II it is not allowed to transfer personal data to the US based on Privacy Shield.

  - Standard contractual clauses (SCC): The European Commission has approved some standard contractual clauses. If you enter into an agreement with someone outside EU/EEA and the agreement contain these standard contractual clauses it may be permitted to transfer personal data, after an assessment whether any additional safeguards may be needed.

  - Binding corporate rules (BCR): Rules that a group with companies in several different countries can draw up to define its processing of personal data. Binding corporate rules must be approved by the Swedish Data Protection Authority or another supervisory authority within the European Union.

   ”Safe countries”: The European Commission has adopted a decision regarding countries with an adequate level of protection. The decision allows you to transfer personal data without any particular permission. The following countries are on the list:

  • Andorra
  • Argentina
  • Canada (commercial organisations)
  • Guernsey
  • Färöarna (Faroe Islands)
  • Isle of Man
  • Israel
  • Japan
  • Jersey
  • Nya Zeeland
  • Schweiz
  • Uruguay

   

   

   

  Additional safeguards:

  - Pseudonymization: Processing of personal data in a way that the data no longer can be attributed to a specific registered person without using additional information, provided that this additional information is stored separately and under technical and organizational measures which ensures that the personal data no longer can be attributed to an identifiable natural person.

  - Special protection of data at the recipient: Personal data is specifically protected by the third country’s law, e.g. for the purpose of jointly provide medical treatment for a patient.

  - Strong encryption: If third country transfers are being made with the purpose of e.g. creating backups at the recipient, the level of technical protection must be adequate to its purpose. This applies to software for encrypting files, strong encryption algorithms, secure passwords, etc.

• Vanliga frågor om rutinen för kartläggning av tredjelandsöverföringar av personuppgifter hittar du här.

   

  Frequently asked questions are here.