Förbud mot överföring av personuppgifter till tredje land

Bakgrund

Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter, vilket innebär att personuppgifter kan föras över fritt inom EU och EES.Utanför EU finns det däremot inga generella regler som ger motsvarande skydd. Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är att tillåtet att föra över personuppgifter till länder utanför EU/EES, så kallade tredje länder.

Huvudregeln

Som huvudregel får personuppgifter inte föras över till tredje land. Det innebär att det bland annat är förbjudet att skicka e-post eller dokument med personuppgifter till någon i tredje land, att ge någon i tredje land tillgång till personuppgifter som lagras inom EU/EES, att anlita eller använda en leverantör i tredje land för att behandla personuppgifter, eller att lagra personuppgifter i en tjänst i tredje land.

Undantag från förbudet

Till huvudregeln finns det ett antal undantag. Bland annat får personuppgifter föras över till tredje land om det finns ett beslut från EU-kommissionen om att landet i fråga säkerställer en adekvat skyddsnivå. Sådana beslut finns för Andorra, Argentina, Bailiwick of Guernsey, Färöarna, Isle of Man, Israel, Japan, Jersey, Nya Zeeland, Schweiz och Uruguay.

Personuppgifter får också föras över i vissa fall till tredje land om högskolan har tecknat ett särskilt avtal med mottagaren av uppgifterna, så kallade standardavtalsklausuler.

Personuppgifterfår dessutom föras över till tredje land i vissa särskilda situationer som räknas upp i dataskyddsförordningen, till exempel när:

  • de registrerade har uttryckligen samtyckt till överföringen, efter att först ha blivit informerade om riskerna med överföringen, eller
  • överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan högskolan och de registrerade eller med en annan part i de registrerades intresse.

Använd godkända it-system

Det är inte tillåtet att föra över och lagra information som innehåller personuppgifter i andra än av högskolan godkända it-system, till exempel molntjänster som Dropbox, Google Drive, Skype, SurveyMonkey, MailChimp, Doodle eller Vimeo. Användning av dessa eller andra tjänster kan strida mot förbudet att föra över personuppgifter till tredje land, eftersom många leverantörer är etablerade utanför EU/EES. För att få föra över personuppgifter till leverantörer av it-tjänster krävs det i regel också särskilda avtal, så kallade personuppgiftsbiträdesavtal, med leverantören, vilket högskolan inte har med alla leverantörer.

Använd därför inte andra än de it-system som högskolan har säkerställt är förenliga med dataskyddsförordningen och annan lagstiftning, och kontrollera alltid att verktyget är godkänt om du är osäker.

Tänk också på hur du använder verktyget, till exempel vem du skickar eller delar personuppgifter med, och fråga om du är osäker på om en viss överföring är laglig.