Vid överföring av personuppgifter till medlemsstater, tredje land och internationella organisationer gäller särskilda villkor som Skatteverket måste beakta. Med medlemsstater menas stater som är medlemmar i EU samt Island, Liechtenstein, Norge och Schweiz. Reglerna om överföring av personuppgifter omfattar även överföring till internationella organisationer. Bestämmelserna kan även aktualiseras när personuppgifter behandlas i en molntjänst.
Att föra över uppgifter till ett tredje land innebär att personuppgifter som finns i Sverige lämnas ut och att uppgifterna efter utlämnandet (också) finns i ett land utanför EU och EES. Med överföring av personuppgifter menas exempelvis
Om Skatteverket vill föra över personuppgifter till tredje land eller en internationell organisation finns det vissa bestämmelser i EU:s dataskyddsförordning och BDL som Skatteverket måste ta hänsyn till (artikel 44–50 EU:s dataskyddsförordning och 8 kap. BDL).
Det är inte ovanligt att personuppgifter överförs till tredjeland genom så kallade nationella kontaktpunkter inom ramen för internationellt samarbete i den brottsbekämpande verksamheten. Syftet med nationella kontaktpunkter är att underlätta det internationella samarbetet genom att varje stat pekar ut en viss myndighet som är ständigt tillgänglig och genom vilken all information till staten kanaliseras, oberoende av vem den slutliga mottagaren är. Kontaktpunkten ser till att informationen omedelbart vidarebefordras till mottagaren. Det är dock endast behöriga myndigheter som kan fungera som kontaktpunkter för informationsutbyte inom ramlagens tillämpningsområde.
För att överföring ska få ske måste även de grundläggande kraven för behandling enligt BDL vara uppfyllda.
Skatteverket får bara föra över personuppgifter till tredje land eller en internationell organisation om något av följande villkor är uppfyllt:
En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation kan samtidigt innebära utlämnande av allmänna handlingar. Då aktualiseras även bestämmelser om sekretess. (Jfr prop. 2017/18:232 sid. 400 ff).
Storbritanniens utträde ur EU innebär att Storbritannien från den 1 januari 2021 är ett tredje land enligt EU:s dataskyddsförordning och brottsdatalagen. Det handels- och samarbetsavtal som nu träffats mellan Storbritannien och EU innebär att personuppgifter kan fortsätta att överföras fritt från medlemsstater i EU till Storbritannien under en begränsad tid utan att kraven på överföring till tredje land ska vara uppfyllda. Avtalet gäller till och med den 30 juni 2021.
Personuppgifter får i särskilda fall och vid enstaka tillfällen föras över (artikel 49 EU:s dataskyddsförordning), trots att beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder inte finns. Undantagen ska tillämpas restriktivt. Särskilda situationer som omfattas av undantaget är t.ex.:
Personuppgifter får ändå föras över till ett tredjeland eller en internationell organisation trots att beslut om adekvat skyddsnivå inte finns om något av följande villkor är uppfyllt:
Om det inte finns något beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder får en överföring eller en samling av överföringar av personuppgifter, ändå göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig om något av följande villkor är uppfyllt:
Om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse får en överföring emellertid inte göras.
Om Skatteverket har fått personuppgifter från ett tredjeland eller en internationell organisation och det finns särskilda användningsbegränsningar uppställda i en överenskommelse, ska Skatteverket följa villkoren oavsett vad som är föreskrivet i lag eller annan författning (8 kap. 9 § BDL).
Skatteverket får, vid överföring av personuppgifter till ett tredjeland eller en internationell organisation, i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till den enskildas rätt eller från allmän synpunkt. Sådana villkor får emellertid inte strida mot en internationell överenskommelse som är bindande för Sverige (8 kap. 10 § BDL).
Om Skatteverket ska överföra personuppgifter till en annan medlemsstat kan Skatteverket behöva ställa upp villkor för att få använda personuppgifterna. Användningsbegränsningar får emellertid endast tillämpas i enskilda fall och villkoren får inte strida mot en bindande internationell överenskommelse. Det innebär i så fall också en skyldighet att i vissa fall dokumentera överföringar som görs till tredjeland eller internationella organisationer en skyldighet att informera tillsynsmyndigheten om vissa överföringar till tredjeland och internationella organisationer (prop. 2017/18:232 sid. 397 f).
Vid publicering av personuppgifter på internet ska man följa bestämmelserna i EU:s dataskyddsförordning. Det innebär bl.a. att man ska ta hänsyn till bestämmelserna i artiklarna 4450 EU:s dataskyddsförordning. Frågan är då om man genom publicering på internet överför personuppgifter till tredje land.
EU-domstolen har uttalat att om man publicerar personuppgifter på internet innebär det inte en överföring av personuppgifter till tredje land om den webbplats där uppgifterna publiceras finns lagrad hos en webbhotelleverantör som är etablerad i en medlemsstat inom EU (C-101/01, Bodil Lindqvist).
Skatteverket måste ta hänsyn till bestämmelserna om överföring av personuppgifter till tredje land om Skatteverket vill behandla personuppgifter, eller låta ett personuppgiftsbiträde behandla personuppgifter, i någon form av molnbaserad datortjänst som innebär att uppgifterna kan komma att behandlas i ett tredje land.
Med molnbaserad datortjänst menas en tjänst där en leverantör erbjuder möjlighet till t.ex. lagring eller processorkraft i servrar som kontrolleras av leverantören och där servrarna finns utspridda på olika geografiska platser.
Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som sker för Skatteverkets räkning i en molnbaserad datortjänst. Molntjänstleverantören, och dennas underleverantörer, är personuppgiftsbiträden åt Skatteverket. Det innebär att Skatteverket ansvarar bland annat för att
EU-dom C-311/18 (Schrems II) har stor påverkan på Skatteverkets möjligheter att använda sig av molntjänster. EU-domstolen har i domen tagit ställning till hur överföring av personuppgifter får ske ut ur den europeiska unionen och EES till främst USA med hänsyn till olika skyddsmekanismer.
För överföring av personuppgifter till tredje land måste en personuppgiftsansvarig ha ett antal förutsättningar på plats. Den främsta principen för sådan överföring är att uppgifterna har samma lagstadgade skydd i det mottagande tredje landet som inom EU genom GDPR. Om det tredje landet saknar ett lagstadgat skydd som motsvarar GDPR kan kompenserande åtgärder genom avtal mellan EU och det tredje landet skapas, alternativt att parterna använder så kallade ”standardavtalsklausuler” (Standard Contractual Clauses, SCC).
EU-domstolen har analyserat tillämpningen av avtalet EU-US Privacy Shield som EU-kommissionen beslutade om 12 juli 2016 samt tillämpningen av SCC vid överföring av personuppgifter till USA. Slutsatsen var att överföring av personuppgifter till USA inte är tillåtet med hänsyn till USA:s inskränkande övervakningslagar där europeiska invånare inte har en juridisk möjlighet att utöva sina rättigheter. Detsamma gäller vid tillämpningen av SCC som mekanism eftersom amerikanska myndigheter inte omfattas av det avtal som träffas med hjälp av den mekanismen.
Eftersom användning av molntjänster kan innebära att sekretessreglerade uppgifter röjs till en utomstående part, ska det även prövas om Skatteverkets användning av molntjänsten är förenlig med gällande sekretessregler.