Dataskyddsförordningen (GDPR) tillåter överföring av personuppgifter till andra länder inom EU och EES. Övriga länder – USA, Storbritannien, Australien och Japan med flera – kallas ”tredjeländer”. För att personuppgifter ska få överföras till ett tredjeland behöver något av alternativen nedan vara tillämpligt.
- Det finns ett adekvansbeslut från EU-kommissionen.
- Mottagarlandet bedöms ha en tillräcklig skyddsnivå enligt dataskyddsförordningen och EU:s standardavtalsklausuler ingår i avtalet.
- För överföringar till USA behöver den mottagande organisationen/aktören vara ansluten till ett särskilt avtal.
Observera att om personuppgifterna överförs till en server inom EU/EES som ägs av till exempel ett amerikanskt bolag (Google, Microsoft, Amazon) är utgångspunkten att det är en överföring till tredjeland.
Särskilt om forskningsprojekt
För överföring av personuppgifter inom internationella forskningssamarbeten där tredjeland utan adekvansbeslut ingår, inklusive USA, se alternativ 2 nedan.
1. Länder med adekvansbeslut från EU-kommissionen
EU-kommissionen kan fatta beslut om att ett land har en tillräckligt hög skyddsnivå och att personuppgifter därför får överföras till landet utan något särskilt tillstånd. I dataskyddsförordningen kallas det för adekvat skyddsnivå.
Ett sådant beslut kan även gälla ett visst territorium, en internationell organisation eller en eller flera sektorer i ett tredjeland. Det är bara EU-kommissionen som kan fatta ett sådant beslut.
Följande länder har EU-kommissionen fattat adekvansbeslut om och de är därmed godkända:
- Andorra
- Argentina
- Guernsey
- Färöarna
- Isle of Man
- Israel
- Japan
- Jersey
- Nya Zeeland
- Schweiz
- Storbritannien
- Sydkorea
- Uruguay
EU-kommissionen har även bedömt att Kanada har en tillräcklig skyddsnivå om deras lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling.
2. EU-kommissionens standardavtalsklausuler
EU-kommissionens standardavtalsklausuler kan användas som grund för överföring av personuppgifter till länder utanför EU förutsatt att standardklausulerna i praktiken efterlevs i mottagarlandet. För att SLU ska kunna avgöra om så är fallet måste vi i varje enskilt fall avgöra om uppgifterna kommer att skyddas tillfredsställande.
I bedömningen ska vi ta hänsyn till om mottagarlandets rättssystem tillåter nationella myndigheter att ta del av de uppgifter som överförs utan att detta kan prövas i domstol.
Den här bedömningen måste du göra innan en överföring påbörjas. Du bör därför undersöka vilka personuppgifter som verkligen behöver föras över. Kan du ändra arbetssätt så att du inte behöver överföra personuppgifter? Om det är ett forskningsprojekt, kan uppgifterna pseudonymiseras?
Om du överväger att överföra personuppgifter till en part i ett tredjeland med stöd av standardavtalsklausuler, kontakta dataskydd@slu.se för en diskussion.
3. Överföring till molntjänst eller tjänst i USA
I USA har flera stora IT-leverantörer sin bas, till exempel Google, Amazon och Microsoft, och många leverantörer av olika molntjänster är amerikanska. Det har gjorts flera försök att få till ett avtal mellan EU och USA som gör att personuppgifter tillhörande EU-parter kan behandlas av amerikanska parter. Ett tidigare försök är Privacy Shield som överklagades och upphävdes av EU-domstolen.
Sedan juli 2023 finns det ett nytt avtal, ramen för dataskydd mellan EU och USA (EU–U.S. Data Privacy Framework, DPF), som gör det möjligt att överföra personuppgifter till de organisationer/aktörer i USA som är anslutna till avtalet.
Innan du anlitar eller samarbetar med en amerikansk aktör är det viktigt att undersöka om denna finns med på listan över organisationer/aktörer som är anslutna till ramen för dataskydd. Finns aktören inte på listan är den inte godkänd av EU-kommissionen. Det innebär att du istället får göra en bedömning enligt alternativ 2 ovan.
SLU:s jurister rekommenderar att om amerikanska aktörer används ska de vara anslutna till dataskyddsramen och du ska ha en exit- och förändringsstrategi om den skulle upphöra att gälla. Det europeiska centret för digitala rättigheter (NOYB), en intresseorganisation, har meddelat att de kommer att överklaga dataskyddsramen till EU-domstolen.