OBS: Detta är utgåva 2020.15. Visa senaste utgåvan.

Att överföra personuppgifter till ett land utanför EU och EES eller till en internationell organisation innebär en behandling av uppgifterna. EU:s dataskyddsförordning har särskilda bestämmelser för denna typ av behandling. Bestämmelserna kan även aktualiseras när personuppgifter behandlas i en molntjänst.

Överföring till tredje land eller internationella organisationer

Att föra över uppgifter till ett tredje land innebär att personuppgifter som finns i Sverige lämnas ut och att uppgifterna efter utlämnandet (också) finns i ett land utanför EU och EES. Med överföring av personuppgifter menas exempelvis

  • överföring av personuppgifter för lagring på en server i ett tredje land
  • överföring av formulär med personuppgifter som inte behandlas inom EU eller EES men som ska behandlas i ett tredje land (SOU 1997:39).

Villkor för överföring av personuppgifter till tredje land eller internationella organisationer

Om Skatteverket vill föra över personuppgifter till tredje land eller en internationell organisation finns det vissa bestämmelser i EU:s dataskyddsförordning som Skatteverket måste ta hänsyn till (artikel 44–50 EU:s dataskyddsförordning).

Skatteverket får bara föra över personuppgifter till tredje land eller en internationell organisation om något av följande villkor är uppfyllt:

  • EU-kommissionen har beslutat att ett tredje land eller en internationell organisation säkerställer en adekvat skyddsnivå. Ett sådant beslut kan också gälla ett visst territorium, en internationell organisation eller en eller flera sektorer i ett tredje land (artikel 45 i EU:s dataskyddsförordning).
  • Den som behandlar personuppgifterna har vidtagit lämpliga skyddsåtgärder. Dessutom måste det finnas möjligheter för den enskilda att få behandlingen prövad i domstol. De skyddsåtgärder som avses innebär att överföringen ska grunda sig på t.ex. standardiserade dataskyddsbestämmelser eller en certifiering som ska ha antagits eller godkänts av EU-kommissionen eller av en tillsynsmyndighet inom EU.
  • Datainspektionen har lämnat tillstånd till överföringen.

Undantag i särskilda situationer

Personuppgifter får i särskilda fall och vid enstaka tillfällen föras över (artikel 49 EU:s dataskyddsförordning), trots att beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder inte finns. Undantagen ska tillämpas restriktivt. Särskilda situationer som omfattas av undantaget är t.ex.:

  • den enskilda har samtyckt till att uppgifterna får överföras
  • överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registrerade personen och den personuppgiftsansvariga
  • överföringen är nödvändig av viktiga skäl som rör allmänintresset
  • överföringen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk.

Innebär publicering av personuppgifter på internet en överföring till tredje land?

Vid publicering av personuppgifter på internet ska man följa bestämmelserna i EU:s dataskyddsförordning. Det innebär bl.a. att man ska ta hänsyn till bestämmelserna i artiklarna 4450 EU:s dataskyddsförordning. Frågan är då om man genom publicering på internet överför personuppgifter till tredje land.

EU-domstolen har uttalat att om man publicerar personuppgifter på internet innebär det inte en överföring av personuppgifter till tredje land om den webbplats där uppgifterna publiceras finns lagrad hos en webbhotelleverantör som är etablerad i en medlemsstat inom EU (C-101/01, Bodil Lindqvist).

Molntjänster omfattas av reglerna om överföring till tredje land

Skatteverket måste ta hänsyn till bestämmelserna om överföring av personuppgifter till tredje land om Skatteverket vill behandla personuppgifter, eller låta ett personuppgiftsbiträde behandla personuppgifter, i någon form av molnbaserad datortjänst som innebär att uppgifterna kan komma att behandlas i ett tredje land.

Med molnbaserad datortjänst menas en tjänst där en leverantör erbjuder möjlighet till t.ex. lagring eller processorkraft i servrar som kontrolleras av leverantören och där servrarna finns utspridda på olika geografiska platser.

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som sker för Skatteverkets räkning i en molnbaserad datortjänst. Molntjänstleverantören, och dennes underleverantörer, är personuppgiftsbiträden åt Skatteverket. Det innebär att Skatteverket ansvarar bland annat för att

  • det finns en rättslig grund för personuppgiftsbehandlingen
  • personuppgiftsbiträdet inte behandlar personuppgifterna för något annat ändamål än de ändamål som Skatteverket har bestämt för personuppgiftsbehandlingen
  • personuppgiftsbiträdet inte bevarar personuppgifterna under längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen
  • personuppgiftsbiträdet vidtar lämpliga säkerhetsåtgärder vid personuppgiftsbehandlingen
  • personuppgifterna inte överförs till tredje land om det inte finns rättsligt stöd för överföringen
  • det finns ett personbiträdesavtal med leverantören och med eventuella underleverantörer.

Eftersom användning av molntjänster kan innebära att sekretessreglerade uppgifter röjs till en utomstående part, ska det även prövas om Skatteverkets användning av molntjänsten är förenlig med gällande sekretessregler.

Referenser på sidan

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3] [4]