Skicka personuppgifter till länder utanför EU (särskilt USA)

Senast ändrad: 12 januari 2021

Sedan juli 2020 är det olagligt att överföra personuppgifter till USA med hjälp av ramverket Privacy Shield. Det är viktigt att du som har amerikanska leverantörer eller samarbeten med amerikanska partner känner till detta och vidtar de åtgärder som behövs. På den här sidan finns rekommendationer från SLU:s jurister och annan viktig information.

Det är olagligt att överföra personuppgifter till USA med stöd av det ramverk för självcertifiering som kallas Privacy Shield. Detta slogs fast i en dom från EU-domstolen i juli 2020.

Överföringar av personuppgifter till USA som har haft Privacy Shield som stöd måste ersättas av avtal där EU-kommissionens standardavtalsklausuler ingår.

SLU:s jurister rekommenderar att inte skaffa nya amerikanska leverantörer eller inleda nya samarbeten med amerikanska partners om det innebär att du måste överföra personuppgifter till dem.

Överföringar inom EU och överföringar till Andorra, Argentina, Bailiwick of Guernsey, Färöarna, Isle of Man, Israel, Japan, Jersey, Nya Zeeland, Schweiz och Uruguay berörs inte och kan fortsätta som vanligt.

Vad måste jag göra?

Avbryt överföringar och teckna nya avtal

Om du vet att personuppgifter överförs till USA med stöd av Privacy Shield måste du åtgärda detta snarast och istället använda EU-kommissionens standardavtalsklausuler.

Detta gäller om du arbetar med en forskningsstudie, ett projekt, ett samarbete eller motsvarande där personuppgifter överförs till en partner i USA antingen med stöd av Privacy Shield, eller helt utan något regelstöd.

De avtal som SLU har med partner i USA som tillämpar Privacy Shield, eller avtal helt saknar regelstöd för överföring av personuppgifter, måste alltså omförhandlas.

EU-kommissionens standardavtalsklausuler måste också ingå i nya avtal som tecknas om det ingår överföring av personuppgifter till länder utanför EU/EES.

Följande länder är undantagna och kräver inte nya avtal: Andorra, Argentina, Bailiwick of Guernsey, Färöarna, Isle of Man, Israel, Japan, Jersey, Nya Zeeland, Schweiz och Uruguay.

Kontakta dina samarbetspartner

Om du har ett avtal som stödjer sig på Privacy Shield kan du skicka följande meddelande till din avtalspartner:

"Dear [name of partner],

Due to legal developments in the EU following the Schrems II case in the EU Court of Justice, we need to adjust our partnership agreement. The Privacy Shield framework has been declared invalid and instead, we need to include the EU Commission’s standard contractual clauses in our agreement to be able to continue to transfer personal data to you. The clauses are available on this web page: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en

We thank you for your understanding. Please get back to us as soon as possible regarding this change in legal formalities.”

Kryptera eller avidentifiera personuppgifter före överföring

Vi rekommenderar även att du lösenordskyddar eller krypterar alla filer som förs över till din samarbetspartner. Detta gäller alla personuppgifter om andra människor än de som arbetar i projektet.

Lösenorden eller krypteringsnycklarna får inte skickas tillsammans med filen utan ska skickas i ett separat meddelande. Helst ska de skickas med en annan tjänst, till exempel ett sms.

Om det är möjligt, ta bort all information som identifierar enskilda människor innan ni för över informationen. Fundera på om det verkligen är nödvändigt att kunna identifiera människor i data ni för över.

Bakgrund

Vad är Privacy Shield?

Enligt dataskyddsförordningen (GDPR) får överföringar av personuppgifter till ett land utanför EU/EES bara göras om mottagarlandet säkerställer en hög skyddsnivå för uppgifterna, så kallad adekvat skyddsnivå.

EU-kommissionen har pekat ut ett antal länder utanför EU/EES som bedöms säkerställa en adekvat skyddsnivå för personuppgifter och som därmed är godkända som mottagare av personuppgifter från EU-länder (Andorra, Argentina, Bailiwick of Guernsey, Färöarna, Isle of Man, Israel, Japan, Jersey, Nya Zeeland, Schweiz och Uruguay ).

Även Kanada och USA har under vissa omständigheter varit godkända som mottagare.

I USA har företag och organisationer genom en självcertifieringsrutin kunnat ansluta sig till regelverket Privacy Shield. Regelverket har använts för att garantera att personuppgifter som överförs till USA skyddas på ett adekvat sätt.

Privacy Shield är upphävt

En dom från EU-domstolen har fastställt att Privacy Shield inte ger tillräckligt skydd av överförda personuppgifter.

Domen innebär att all överföring av personuppgifter till mottagare i USA som stödjer sig på Privacy Shield är oförenlig med både EU-rätt och svensk rätt. För de överföringar som ska göras till ett land utanför EU/EES som inte erbjuder adekvat skyddsnivå måste det därför finnas annat regelstöd.

Amerikansk lagstiftning ger under vissa förutsättningar amerikanska myndigheter rätt att få tillgång till information som förs över till USA. I vissa sådana fall får inte den organisation som har tillgång till personuppgifterna ens berätta om detta för den som har överfört informationen, till exempel SLU, eller den registrerade. Detta innebär i sin tur att vare sig SLU eller den registrerade har möjlighet att invända mot den amerikanska myndighetens agerande. En sådan överföring bryter alltså mot dataskyddsförordningens bestämmelser.

EU-kommissionens standardavtalsklausuler

EU-kommissionens standardavtalsklausuler kan användas som grund för överföring av personuppgifter till länder utanför EU under förutsättning att standardklausulerna efterlevs i mottagarlandet. För att SLU ska kunna avgöra om så är fallet måste vi i varje enskilt fall avgöra om uppgifterna kommer att skyddas tillfredsställande.

I bedömningen ska vi ta hänsyn till om mottagarlandets rättssystem tillåter nationella myndigheter att ta del av de uppgifter som överförs utan att detta kan prövas i domstol. Den typen av lagstiftning finns i flera länder, till exempel ”Cloud Act” i USA, Investigatory Powers Act 2016 i Storbritannien och liknande lagstiftning i Kina, Australien och Indien.

Den här bedömningen måste du göra innan en överföring påbörjas. Du bör därför undersöka vilka personuppgifter som verkligen behöver föras över. Kan du ändra arbetssätt så att du inte behöver överföra personuppgifter?


Kontaktinformation

dataskydd@slu.se, 018-67 20 90

Anna Jarmar, universitetsjurist/dataskyddsombud, 018-67 22 75

Simon Åkerblom, universitetsjurist med särskilt ansvar för digitaliserings- och dataskyddsfrågor, 018 – 67 20 42