Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Överföringar till tredje land och internationella organisationer

    Vad säger regelverket?

    Överföringar till andra EU-länder av personuppgifter (oavsett hur de överförs) innebär inga extra problem enligt dataskyddsförordningen. Anledningen till detta är att alla EU-länder ska följa samma regelverk och det därför är lika riskfritt att behandla personuppgifter i Sverige som i Frankrike eller Rumänien.
    Om överföringarna görs till länder utanför EU/EES finns särskilda regler. Vad som krävs skiftar stort och beror på om landet bedöms ha adekvat skyddsnivå eller inte samt hur ofta överföring sker.

    Överföringar till EU och EES kräver inget extra

    Inom EU kan personuppgifter flöda fritt utan tilläggskrav eftersom GDPR gäller på samma sätt i hela EU. Församlingen/pastoratet behöver därför inte göra något extra bara för att personuppgifter överförs till ett annat EU-land.
    EU-länder idag är Belgien, Bulgarien, Cypern, Danmark, Estland, Finland, Frankrike, Grekland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Nederländerna, Polen, Portugal, Rumänien, Slovakien, Slovenien, Spanien, Storbritannien (se nedan), Sverige, Tjeckien, Tyskland, Ungern och Österrike. 
    Även EES-länderna Island, Liechtenstein och Norge är säkra att överföra till eftersom de förbundit sig genom EES-avtalet att tillämpa dataskyddsförordningen på samma sätt som EU-länderna gör.

    Storbritannien och Brexit

    Storbritannien lämnade den Europeiska unionen, EU den 31 december 2020. Den 24 december 2020 kom EU-kommissionen och Storbritannien överens om ett avtal för att reglera förhållandet dem emellan från den 1 januari 2021. Utträdet innebär att Storbritannien är att betrakta som ett tredje land utifrån GDPR, det avtal som nu har träffats innebär dock att personuppgifter fortsättningsvis kan överföras under en begränsad tidsperiod, enligt Integritetsskyddsmyndigheten längst t.o.m. 30 juni 2021. Detta är en tillfällig lösning i avvaktan på ett eventuellt beslut från EU om att Storbritannien kan anses ha en adekvat skyddsnivå. Övergångsperioden kan avbrytas i förväg under vissa omständigheter så det är bra för den som ska genomföra överföringar att fortlöpande kolla status på Integritetsskyddsmyndighetens hemsida.

    Överföringar till tredje land och internationella organisationer

    Tredje land är ett juridiskt begrepp. Det betyder länder som inte är med i unionen eller har anslutit sig till EES-avtalet.
    Internationella organisationer är organisationer (och deras underställda organ) som lyder under folkrätten, eller andra organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder. Exempel på internationella organisationer är Förenta nationerna och Röda Korset. 
    Överföringar till tredje land eller internationella organisationer är riskfyllda och ställer stora krav på den personuppgiftsansvariga organisationen i det fall EU-kommissionen inte har beslutat att landet/organisationen har en adekvat skyddsnivå. När vi fortsättningsvis pratar om tredjelandsöverföringar menar vi både överföringar som kan gå till ett tredje land eller en internationell organisation. Vid alla sådana överföringar är det viktigt att kontrollera att man gör rätt. Ett bra sätt att göra det är att följa arbetsgången nedan.

    Arbetsgång vid tredjelandsöverföringar

    Första steget är att undersöka om landet/organisationen finns på EU-kommissionens lista över säkra tredje länder. I nuläget är detta följande länder: Andorra, Argentina, Bailiwick of Guernsey, Färöarna, Isle of Man, Israel, Jersey, Nya Zeeland, Schweiz och Uruguay. Även Kanada har bedömts ha adekvat skyddsnivå men bara om vissa tilläggsvillkor är uppfyllda. I de fallen måste man också sätta sig in i de villkoren (för exempelvis USA:s del handlar det om att vara ansluten till Privacy Shield).

    1. För USA:s del så underkände EU-domstolen i mitten av juli 2020 det så kallade ”Privacy Shield”, dvs det kommissionsbeslut som till den 15 juli 2020  har fungerat som skydd vid överföring mellan EU/EES och USA (domstolen underkände Privacy Shield i en dom från den 16 juli och från den dagen får beslutet inte längre tillämpas). EU-domstolen sade också att standardavtalsklausuler kan vara giltiga för överföring till USA, men att det då med stor sannolikhet krävs ytterligare säkerhetsåtgärder (jämför artikel 44 GDPR som gäller generellt vid alla tredjelandsöverföringar), vilket ställer stora krav på pastoratet/församlingen att t.ex. undersöka om de leverantörer man anlitar har sitt huvudkontor eller annan verksamhet i USA och därmed gör överföringar av information, till USA eller kan bli utsatta för krav från amerikanska myndigheter att lämna ut information innehållande personuppgifter. Se vidare nedan ”Viktigt att kontrollera biträdesavtal”.

      Det andra steget är att bedöma hur frekvent man behöver göra tredjelandsöverföringar. Det finns tre möjliga, mycket restriktiva, undantag som tillåter tredjelandsöverföringar. Vilket som blir tillämpbart beror på överföringarnas frekvens:

      1. Det första undantaget omfattar regelmässig och omfattande verksamhet där man själv behöver bygga in ett inbyggt dataskydd. Det kan man göra genom så kallade lämpliga skyddsåtgärder: bindande företagsbestämmelser, standardavtalsklausuler som EU-kommissionen har beslutat om (dessa finns på Integritetsskyddsmyndighetens, tidigare Datainspektionens hemsida) eller godkända uppförandekoder eller certifierings¬mekanismer. Det måste dessutom finnas lagstadgade rättigheter och möjlighet för de registrerade att klaga på personuppgiftsbehandlingen och få den prövad i domstol. 
      Det är mindre sannolikt att en församling eller ett pastorat bedriver sådan verksamhet själv, men det kan hända att ett personuppgiftsbiträde gör det (vi återkommer till detta nedan).

    2. Det andra undantaget avser speciella fall. Dessa är följande:
      • den registrerade har uttryckligen samtyckt till det, efter att ha fått information om riskerna med överföringar som sker när det saknas beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder,
      • det är nödvändigt för att fullgöra ett avtal med den registrerade eller för att, på den registrerades begäran, genomföra åtgärder inför ett sådant avtal,
      • det är nödvändigt för att ingå eller fullgöra ett avtal med någon annan än den registrerade, om det ligger i den registrerades intresse,
      • det är nödvändigt av viktiga skäl som rör allmänintresset, vilket ska vara erkänt i nationell rätt eller EU-rätten (finns idag inga sådana för kyrkan),
      • det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk,
      • det är nödvändigt för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är förhindrad (fysiskt eller rättsligt) att lämna samtycke, eller
      • överföringen, under vissa förutsättningar, görs från ett register som enligt nationell rätt eller EU-rätten är för allmänhetens information (gäller idag inte kyrkan).

      Europeiska dataskyddsstyrelsen har antagit riktlinjer om dessa speciella fall.

      Hos församlingar och pastorat skulle speciella fall kunna omfatta medarbetare som gör tjänsteresor till tredje länder eller som ibland i sitt arbete överför sina personuppgifter (till exempel mejlar) till sådana. Stockholms stift har tagit fram ett avtal för sådana medarbetare som också innehåller ett uttryckligt samtycke. En viktig del i ett sådant avtal är att klargöra riskerna för medarbetaren. Det är viktigt att vara lyhörd och prata om risker, så att medarbetaren kan göra informerade val. Det finns också avtal för enstaka resor som en medarbetare eller annan vuxen deltagare  gör.

      Speciella fall skulle också kunna omfatta att församlingen/pastoratet avser att ha konfirmationsläger i land utanför EU/EES som inte har adekvat skyddsnivå. Här måste också beaktas att unga människor anses särskilt utsatta enligt GDPR, så det är viktigt att noga gå igenom förutsättningar och ta fram avtal. 

      En tredje situation som skulle kunna innebära speciella fall omfattar medarbetare som i sina arbetsuppgifter samverkar med internationella organisationer, se ovan, som inte bedömts ha tillräcklig skyddsnivå. 

    3. Det tredje undantaget rör överföringar som sker någon enstaka gång. Kraven för att få använda detta undantag är dock strikta. Detta är endast tillåtet om överföringen

      • sker endast vid ett enstaka tillfälle,
      • gäller ett begränsat antal registrerade, och
      • sker efter en intresseavvägning (den lagliga grunden berättigat intresse beskrivs i avsnittet behandling).

      Alla tre punkterna måste således vara uppfyllda för att undantaget ska kunna användas.
      Det här undantaget kan inte användas regelmässigt utan en noggrann prövning måste göras. Var noga med att dokumentera hur ni kommit fram till ställningstagandet. Det kan också vara rimligt att en chef fattar ett formellt beslut rörande sådana överföringar. 
      Det är viktigt att församlingens/pastoratets dataskyddsombud fortlöpande följer upp hur församlingen arbetar med frågorna och bistår i att utbilda personalen i dessa frågor. Tredjelandsöverföringar är högriskbehandlingar och kan sanktioneras på den högsta sanktionsnivån (upp till 20 miljoner euro). 

    Europeiska dataskyddstyrelsen, EDPB, har tagit fram ytterst restriktiva rekommendationer om vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till tredje land. Rekommendationerna har varit på remiss fram till den 21 december, och har ännu inte kommit i sin slutliga form. Den nuvarande versionen finns att läsa på engelska på EDPBs webb. I korthet ställer utkastet krav på långtgående kontroller av egna och leverantörers tredjelandsöverföringar. Förekommer sådana behöver den personuppgiftsansvarige gå igenom sex steg och dokumentera sina ställningstaganden. Vår bedömning är att dessa steg är mycket komplexa för församlingar och pastorat att hantera, så det bästa är att undvika amerikanska leverantörer. Används sådana ändå kan det finnas behov av konsekvensbedömning i vilken det är lämpligt att dokumentera de sex stegen. Uppsala stift har av denna anledning gjort en konsekvensbedömning av Microsoft 365, inför att det systemet rullades ut.

    Beskriv hur ni arbetar i integritetspolicyn

    Församlingar och pastorat ska kunna informera om tredjelandsöverföringar som görs i verksamheten. Av detta skäl är det viktigt att ta med relevanta beskrivningar i integritetspolicyn. I informationen ställs tilläggskrav som också ska uppfyllas. Vid andra överföringsverktyg än kommissionsbeslut ska man klara av att informera om sina skyddsåtgärder eller var man kan hitta sådan information. Tillämpas ett kommissionsbeslut ska detta anges. 

    Viktigt med riktlinjer för medarbetares semestrar

    Givet regelverket om tredjelandsöverföringar är det viktigt att ha tydliga riktlinjer rörande arbetsmobiler och annan mobil IT-utrustning för medarbetare, förtroendevalda och andra som får använda sådan utrustning. Om medarbetare reser till land utan adekvat skyddsnivå och där laddar upp dokument eller läser arbetsmejl innebär det stor risk för att personuppgifter överförs på ett otillåtet sätt. 

    Det som medarbetare gör med arbetsutrustning är pastoratet/församlingen personuppgiftsansvarig för vilket innebär att det är viktigt ta fram tydliga riktlinjer. Dessa bör innefatta att en inte får ladda ner filer eller mejl medan en vistas i tredje land, vilket bland annat innebär att en måste stoppa dataroaming på enheterna. Denna typ av frågor kan hanteras i till exempel en IT-policy. God praxis är också att inför stora semestersäsonger som sommar- och julledigheter gå ut och påminna om regelverket.  Det är viktigt att församlingens/pastoratets dataskyddsombud följer upp att det finns adekvata riktlinjer fortlöpande och bistår i att utbilda personal och förtroendevalda i dessa frågor. 

    Viktigt kontrollera biträdesavtal

    En viktig del i ett biträdesavtal är klausulerna rörande tredjelandsöverföringar. Den självklara utgångspunkten är att församlingens/pastoratets personuppgiftsbiträden inte får göra tredjelandsöverföringar. Ska sådana tillåtas måste man först ha gjort en sexstegsutredning (se ovan i avsnittet arbetsgång vid tredjelandsöverföringar). I dagsläget är det mycket komplext att tillåta överföringar till USA eftersom Schrems II tydligt visar att amerikansk lagstiftning möjliggör bulkvis avlyssning av amerikanska myndigheter.  

    Om man ändå vill medge att ett biträde får göra det är det lämpligt att tillse att en av de standardklausuler som EU-kommissionen fattat beslut om används (se avsnittet ovan om arbetsgång). Besluten dessa grundas på är möjliga att ladda ner på Integritetsmyndigheten, tidigare Datainspektionens hemsida, men det är ytterst krävande att kunna bedöma om klausulerna tillämpas korrekt då de inte finns i en mall utan behöver tas fram genom att jämföra olika kommissionsbeslut som dessutom rör äldre regelverk. För närvarande finns även ett utkast till nya standardavtalsklausuler som varit ute på publik konsultation. Dessa är inte fastställda än men rimligare att utgå ifrån eftersom de till fullo beaktat Schrems II. Notera att standardavtalsklausulerna kräver många avgöranden: vilka av dem som behöver säkerställas i ett aktuellt fall kan variera. Då den här typen av bedömningar är mycket grannlaga och svåra bör församlingen/pastoratet låta en jurist granska avtalen. Det är också viktigt att församlingens/pastoratets dataskyddsombud bistår i arbetet och följer upp biträdesavtalens utformning fortlöpande. 

    Fallgropar man bör vara extra noga med är var leverantörerna lagrar data (data som lagras på server utanför EU anses innebära tredjelandsöverföring men även annan data kan komma att överföras till moderbolag enligt amerikansk lagstiftning till exempel Cloud Act) samt om leverantören har anställda som arbetar från tredje land (till exempel om man har köpt extern helpdesk). Detta är typfall då tredjelands-överföringar kan ske.

    Andra typfall är överföringar som faller under den amerikanska lagstiftningen FISA, vilken prövades i Schrems II. I detta rättsfall klargörs att FISA medger amerikanska myndigheter att göra bulkinsamlingar av personuppgifter vilket drabbar många amerikanska företag (Facebook och andra sociala medier, Google och andra sökmotorer). Detta är överföringar som är mycket svåra att hantera korrekt idag. Organisationen Noyb gör regelmässigt anmälningar till tillsynsmyndigheter rörande felaktig hantering (till exempel att statistikverktyg används på hemsidor).

    Tänk också på att granska underbiträden till personuppgiftsbiträdet i de här avseendena om det finns anledning att tro att biträdena kan göra tredjelandsöverföringar. En typisk klausul i ett biträdesavtal är dock att personuppgiftsbiträdet ska tillse att underbiträden följer villkoren i biträdesavtalet. Beträffande amerikanska bolag är det mycket svårt att i dagsläget hantera effekterna av Schrems II, vilket kräver att jurister behöver granska sådana avtal.

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2021-01-25
    X
    Dokumentid: 1436005- Webid: 28950 - Unitid: 14