Anmälan av tredjelandsöverföring

Blankett #448

Information

Välj "Ja" i dropdownlisten för att ta del av informationen nedan. 

Vid frågor, kontakta dataskyddsombud@uu.se

• Uppgifter om den systemlösning/register/studie överföringen gäller

• Namn på systemlösningen (motsv.) överföringen avser
• Kortfattad beskrivning av systemlösningen (motsv.), namn på leverantör och systemlösningens funktion vid Uppsala universitet
• Jag har tagit del av informationen ovan: Nej Ja

• Det finns tre olika sorters överföringar du kan anmäla:

  Alternativ 1 - Överföring med stöd av artikel 46 GDPR Standardavtalsklausuler (SCC)

  Om dataimportören accepterar tillämpningen av SCC som skydd för överföringen och den personuppgiftsansvarige gör bedömningen att överföringen inte riskerar de registrerades mänskliga fri- och rättigheter i mottagarlandet kan personuppgifter i vissa fall överföras till tredjeland. Överföringen kan förekomma inom en tjänst.

   

  Alternativ 2 - Överföring  med stöd av artikel 46. för personuppgifter i forskningsdata

  Om lagstadgade rättigheter och effektiva rättsmedel finns för registrerade hos  dataimportören i mottagarlandet och om den personuppgiftsansvarige (dataexportören) har vidtagit lämpliga skyddsåtgärder som skyddar behandlingen får personuppgifter överföras till tredjeland. Överföringen kan förekomma inom en tjänst.

    

  Alternativ 3 - Överföring med stöd av artikel 49.

  Artikeln reglerar när överföringar av personuppgifter får göras i särskilda enskilda situationer, t.ex. genom uttryckliga samtycken från registrerade, när överföringen görs i den registrerades eget intresse, för att uppfylla avtalsvillkor eller för ett viktigt allmänt intresse.

  Artikeln förutsätter att överföringarna uppfyller nödvändighetsrekvisitet och att de inte görs repetitivt.

• Jag vill anmäla en överföring med stöd av: - - - - - Artikel 46 GDPR Standardklausuler (SCC) Artikel 46 för personuppgifter i forskningsdata Artikel 49

• Möjligt tillvägagångssätt för att överföra personuppgifter med stöd av artikel 46 med standardavtalsklausuler (SCC)

  Standardavtalsklausuler (artikel 46 2. c) kan vara ett möjligt alternativ till legala överföringar av personuppgifter i en tjänst under förutsättning att de registrerades rättigheter enligt GDPR inte riskerar att kränkas.

  Nedanstående bedömning skall göras för att säkerställa att skyddsnivån för personuppgifterna i den planerade överföringen (tjänsten) bedöms vara väsentligen likartad den som finns inom EU/EES-området.

  Riskbedömningen består av sex frågor och en kvalitativ bedömning som skall godkännas av prefekt eller av IT-direktör för centrala systemlösningar.

  Godkännandet skall kvitteras med en tidsstämpel med datum och klockslag.

• 1. Tillämpning av standardavtalsklausulerna
  

• Accepterar den tänkta leverantören villkoren i EU-kommissionens standardavtalsklausuler (SCC) som överföringsmekanism? - - - Ja Nej

• 2. Uppgifter i klartext hos leverantören/tjänsten

• Kommer leverantören av tjänsten att ha tillgång till uppgifterna i klartext vid behandlingen? - - - Ja Nej

• 3. Geografisk placering av leverantör eller tjänst inom EU/EES-området eller tillämpligt adekvansbeslut

• Befinner sig leverantören och/eller tjänsten inom EU/EES-området eller omfattas leverantören av EU-kommissionens beslut om säkra länder? - - - Ja Nej

• 4. Skyddet för personuppgifter hos leverantören

• Är skyddsnivån för personuppgifter hos leverantören väsentligen likartad som inom EU/EES-området? - - - Ja Nej

• 5. Kompletterande skyddsåtgärder

• Finns det kompletterande skyddsåtgärder som säkerställer att personuppgifter får en "väsentligen likvärdigt skydd" i mottagarlandet? - - - Ja Nej

• 6. Uppföljning av skyddet för personuppgifterna hos leverantören

• Kommer den personuppgiftsansvarige att följa upp bedömningen av skyddet för personuppgifter hos leverantören? - - - Ja Nej

• Riskbedömning av möjligt tillvägagångssätt för att överföra personuppgifter med stöd av artikel 46 med standardklausuler (SCC)

  
  

  Som ett resultat av svaren på ovanstående frågor gör jag bedömningen att:

  • den planerade överföringen av personuppgifter i tjänsten inte riskerar att undergräva det skydd som ges till personuppgifter inom EU/EES-området.  
  • tillämpningen av standardavtalsklausulerna tjänar till att säkerställa en väsentligen likvärdig skyddsnivå som inom EU/EES-området.
  • den registrerades grundläggande rättigheter inte kränks under personuppgiftsbehandlingen i tjänsten.

• Möjligt tillvägagångssätt för att överföra personuppgifter med stöd av artikel 46 för forskningsändamål

  Forskning är ett av lärosätenas huvuduppdrag. Inom forskning är det vanligt att det finns ett behov av att överföra personuppgifter. Det är viktigt att komma ihåg att regleringen för personuppgifter även omfattar forskningen.

  För universitets- och högskolesektorn ger artikel 46 i princip bara ett möjligt alternativ till legala överföringar av personuppgifter för forskningsändamål genom tillämpning av:

  - standardavtalsklausuler (artikel 46 2. c) med ytterligare skyddsåtgärder i form av pseudonymisering av data.

• Följande punkter ska vara uppfyllda för att en sådan överföring ska gå att genomföra

  Dataexportören (PuA) och dataimportören (PuB) ska godkänna och tillämpa EU-kommissionens standardavtalsklausuler (SCC).

  ·         Som komplement till SCC ska dataexportören (PuA) med utgångspunkt från EDPB:s rekommendationer (01/2020) säkerställa att personuppgifterna skyddas genom pseudonymisering genom att:

  ·         personuppgifterna (t.ex. i ett dataset) inte går att koppla till en specifik individ utan användning av ytterligare uppgifter (t.ex. en kodlista) som ska hållas åtskilda,

  ·         de ytterligare uppgifterna aldrig lämnar EU/EES-området eller något av de länder som täcks in av EU-kommissionens beslut om adekvat skyddsnivå, 

  ·         de ytterligare uppgifterna skyddas mot utlämning eller otillåten användning med kvalificerade tekniska och organisatoriska skyddsåtgärder, och

  ·         PuA efter noggrann analys av uppgifternas innehåll kan utesluta att specifika individer ändå kan identifieras genom nationella myndigheters informationsinnehav hos dataimportören i mottagarlandet.

  ·         Under överföringen till dataimportören ska uppgifterna skyddas av stark kryptering med en tillförlitlig nyckelhantering där krypteringsnycklarna behålls hos dataexportören inom EU/EES-området eller hos länder med adekvat skyddsnivå.

• Jag bekräftar härmed att:
  1. Dataexportören (PUA) och dataimportören godkänner och tillämpar EU-kommissionens standardavtalsklausuler.

  2. Personuppgifterna är pseudonymiserade vid behandlingen.

  3. Det är uteslutet att nationella myndigheter hos dataimportören kan identifiera specifika individer i exporterad data.

  4. Personuppgifterna skyddas med kryptering under överföringen till dataimportören.

• Möjligt tillvägagångssätt för att överföra personuppgifter med stöd av artikel 49 för forsknings- och studieadministrativa ändamål

  För forsknings- och studieadministrativa ändamål kan personuppgifter i vissa fall överföras med stöd av artikel 49, kallat ”Undantag i särskilda situationer”.

  Dataexportören skall först utesluta att SCC med kompletterande skyddsåtgärder inte kan användas som stöd för överföringen (se flik 1 artikel 46).

  Undantagsbestämmelserna förutsätter att det finns en laglig grund för behandlingen som sådan, att behandlingen är nödvändig, att överföringarna inte görs i upprepad form (repetitivt) och att den registrerades grundläggande rättigheter aldrig kränks som en följd av tillämpningen.

• Följande punkter ska vara uppfyllda för att en överföring enligt artikel 49.1 c för studieadministrativa ändamål ska gå att genomföra:

  Dataexportören skall göra bedömningen att:

  ·         det ligger i den registrerades intresse att överföringen genomförs,

  ·         överföringen är nödvändig för att uppfylla ett avtal och/eller behövs för att kunna genomföra åtgärder inför upprättandet av ett sådant avtal (t.ex. med ett lärosäte i tredje land som skall ta emot utbytesstudenter),

  ·         den registrerades personuppgifter inte överförs vid flera olika tillfällen (repetitivt), 

  ·         överföringen inte är en del av lärosätets myndighetsutövning, och

  ·         uppgifterna skyddas med lämpliga tekniska och metodologiska åtgärder vid överföringen enligt de generella reglerna för behandling.

• Jag bekräftar härmed att:
  1. Överföringen ligger i den registrerades intresse.

  2. Överföringen är nödvändig för att uppfylla avtalsvillkor.

  3. Överföringen inte är repetitiv.

  4. Överföringen inte är en del av lärosätets myndighetsutövning.

  5. Uppgifterna skyddas med lämpliga tekniska och metodologiska åtgärder.

• Följande punkter ska vara uppfyllda för att en överföring enligt artikel 49.1 d för forskningsändamål ska gå att genomföra:

  ·         överföringen är begränsad till ”specifika situationer” (t.ex. dataset inom specifikt forskningsprojekt),

  ·         överföringen endast omfattar ett begränsat antal registrerade,

  ·         överföringen är nödvändig för dataexportörens tvingande berättigade intressen,

  ·         att lämpliga skyddsåtgärder vidtagits för de registrerade och

  ·         att de generella reglerna för skyddet av personuppgifterna enligt GDPR inte undergrävs genom tillämpningen.

• Jag bekräftar härmed att:
  1. Överföringen rör en specifik situation.

  2. Överföringens omfattning är begränsad till ett mindre antal registrerade.

  3. Överföringen är nödvändig.

  4. Lämpliga skyddsåtgärder har vidtagits för de registrerade.

  5. Skyddet för de registrerades personuppgifter inte undergrävs genom överföringen.

• Uppgifter om dig som gjort bedömningen eller riskbedömningen:

• Namn på den som gjort bedömningen eller riskbedömningen
• Befattning och tjänsteställe
• E-postadress till den som gjort bedömningen eller riskbedömningen
• Namn på chef som godkänt bedömningen eller riskbedömningen
• Befattning och tjänsteställe
• Datum och tidpunkt då ovanstående chef godkände bedömningen eller riskbedömningen:
  Ange datum och tidpunkt, alltså ÅÅÅÅMMDD Kl TT:MM

• OBS! Stäng inte webbläsaren förrän du fått bekräftelse på din anmälan.