Överföring till tredje land och personuppgiftsbehandling i molntjänster

Överföring till tredje land eller internationella organisationer

Att föra över uppgifter till ett tredje land innebär att personuppgifter som finns i Sverige lämnas ut och att uppgifterna efter utlämnandet blir tillgängliga i ett land utanför EU och EES. Med överföring av personuppgifter menas exempelvis

• överföring av personuppgifter för lagring på en server i ett tredje land
• överföring av formulär med personuppgifter som inte behandlas inom EU eller EES men som ska behandlas i ett tredje land (SOU 1997:39)
• överföring genom att informationen tillförs ett för de behöriga myndigheterna gemensamt datasystem (Interpol).

Villkor för överföring av personuppgifter till tredje land eller internationella organisationer

Om Skatteverket vill föra över personuppgifter till tredje land eller en internationell organisation finns det vissa bestämmelser i EU:s dataskyddsförordning eller brottsdatalagen som Skatteverket måste ta hänsyn till (art 46 i EU:s dataskyddsförordning och 8 kap. BDL).

Det är inte ovanligt att personuppgifter överförs till tredjeland genom så kallade nationella kontaktpunkter inom ramen för internationellt samarbete i den brottsbekämpande verksamheten. Syftet med nationella kontaktpunkter är att underlätta det internationella samarbetet genom att varje stat pekar ut en viss myndighet som är ständigt tillgänglig och genom vilken all information till staten kanaliseras, oberoende av vem den slutliga mottagaren är. Kontaktpunkten ser till att informationen omedelbart vidarebefordras till mottagaren. Det är dock endast behöriga myndigheter som kan fungera som kontaktpunkter för informationsutbyte inom ramlagens tillämpningsområde. För att överföring ska få ske måste även de grundläggande kraven för behandling enligt brottsdatalagen vara uppfyllda.

Skatteverket får bara föra över personuppgifter till tredje land eller en internationell organisation om något av följande villkor är uppfyllt:

• EU-kommissionen har beslutat att ett tredje land eller en internationell organisation säkerställer en adekvat skyddsnivå. Ett sådant beslut kan också gälla ett visst territorium, en internationell organisation eller en eller flera sektorer i ett tredje land (artikel 45 i EU:s dataskyddsförordning och 8 kap. 3 § BDL).
• Den som behandlar personuppgifterna har vidtagit lämpliga skyddsåtgärder. Dessutom måste det finnas möjligheter för den enskilda att få behandlingen prövad i domstol. De skyddsåtgärder som avses innebär att överföringen ska grunda sig på t.ex. standardiserade dataskyddsbestämmelser eller en certifiering som ska ha antagits eller godkänts av EU-kommissionen eller av en tillsynsmyndighet inom EU (art 46 i EU:s dataskyddsförordning och 8 kap. 4 § BDL).

En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation är ett utlämnande i OSL:s mening. En sådan överföring av personuppgifter måste därför också ske i enlighet med reglerna om offentlighet och sekretess. (Jfr prop. 2017/18:232 sid. 400 ff.).

Storbritanniens utträde ur EU innebär att Storbritannien från den 1 januari 2021 är ett tredje land enligt EU:s dataskyddsförordning och brottsdatalagen. EU-kommissionen har fattat två beslut om adekvat skyddsnivå enligt EU:s dataskyddsförordning respektive brottsdatadirektivet. Besluten innebär att Storbritannien har en tillräckligt hög skyddsnivå och att personuppgifter får föras över dit utan något särskilt tillstånd.

Undantag i särskilda situationer enligt EU:s dataskyddsförordning

Personuppgifter får i särskilda fall och vid enstaka tillfällen föras över (artikel 49 i EU:s dataskyddsförordning), trots att beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder inte finns. Undantagen ska tillämpas restriktivt. Särskilda situationer som omfattas av undantaget är t.ex.:

• den enskilda har samtyckt till att uppgifterna får överföras
• överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registrerade personen och den personuppgiftsansvariga
• överföringen är nödvändig av ett viktigt skäl som rör allmänintresset
• överföringen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk.

Undantag i särskilda situationer enligt brottsdatalagen

Personuppgifter får ändå föras över till ett tredjeland eller en internationell organisation trots att beslut om adekvat skyddsnivå inte finns om något av följande villkor är uppfyllt (8 kap. 4 § BDL):

• skyddsåtgärder för personuppgifterna har fastställts i ett avtal som ger tillräckliga garantier till skydd för den registrerade
• den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.

Om det inte finns något beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder får en överföring eller en samling av överföringar av personuppgifter, ändå göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig om något av följande villkor är uppfyllt (8 kap. 5 § BDL):

• värna den registrerades eller någon annan fysisk persons vitala intressen, eller andra berättigade intressen som den registrerade har
• i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet
• i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i punkten ovan
• avvärja en omedelbar och allvarlig fara för allmän säkerhet.

Om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse får en överföring emellertid inte göras (8 kap. 5 § 2 st BDL).

Överföring av personuppgifter enligt 8 kap. 4 § 2 och 5 § BDL ska dokumenteras och ska på begäran göras tillgänglig för IMY. Vilka uppgifter dokumentationen ska innehålla framgår av 7 kap. 3 § BDF.

Särskilda villkor (användningsbegränsningar) när Skatteverket fått personuppgifter med stöd av brottsdatalagen

Om Skatteverket har fått personuppgifter från ett tredjeland eller en internationell organisation och det finns särskilda användningsbegränsningar uppställda i en överenskommelse, ska Skatteverket följa villkoren oavsett vad som är föreskrivet i lag eller annan författning (8 kap. 9 § BDL).

Skatteverket får, vid överföring av personuppgifter till ett tredjeland eller en internationell organisation, i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till den enskildas rätt eller från allmän synpunkt. Sådana villkor får emellertid inte strida mot en internationell överenskommelse som är bindande för Sverige (8 kap. 10 § BDL).

Om Skatteverket ska överföra personuppgifter till en annan medlemsstat kan Skatteverket behöva ställa upp villkor för att få använda personuppgifterna. Användningsbegränsningar får emellertid endast tillämpas i enskilda fall och villkoren får inte strida mot en bindande internationell överenskommelse. Det innebär i så fall också en skyldighet att i vissa fall dokumentera överföringar som görs till tredjeland eller internationella organisationer en skyldighet att informera tillsynsmyndigheten om vissa överföringar till tredjeland och internationella organisationer (prop. 2017/18:232 sid. 397 f).

Innebär publicering av personuppgifter på internet en överföring till tredje land?

Vid publicering av personuppgifter på internet ska man följa bestämmelserna i EU:s dataskyddsförordning. Det innebär bl.a. att man ska ta hänsyn till bestämmelserna i art 4450 i EU:s dataskyddsförordning. Frågan är då om man genom publicering på internet överför personuppgifter till tredje land.

EU-domstolen har uttalat att om man publicerar personuppgifter på internet innebär det inte en överföring av personuppgifter till tredje land om den webbplats där uppgifterna publiceras finns lagrad hos en webbhotelleverantör som är etablerad i en medlemsstat inom EU (C-101/01, Bodil Lindqvist).

Molntjänster omfattas av reglerna om överföring till tredje land

Skatteverket måste ta hänsyn till bestämmelserna om överföring av personuppgifter till tredje land om Skatteverket vill behandla personuppgifter, eller låta ett personuppgiftsbiträde behandla personuppgifter, i någon form av molnbaserad datortjänst som innebär att uppgifterna kan komma att behandlas i ett tredje land.

Med molnbaserad datortjänst menas en tjänst där en leverantör erbjuder möjlighet till t.ex. lagring eller processorkraft i servrar som kontrolleras av leverantören och där servrarna finns utspridda på olika geografiska platser.

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som sker för Skatteverkets räkning i en molnbaserad datortjänst. Molntjänstleverantören, och dennas underleverantörer, är personuppgiftsbiträden åt Skatteverket. Det innebär att Skatteverket ansvarar bland annat för att

• det finns en rättslig grund för personuppgiftsbehandlingen
• personuppgiftsbiträdet inte behandlar personuppgifterna för något annat ändamål än de ändamål som Skatteverket har bestämt för personuppgiftsbehandlingen
• personuppgiftsbiträdet inte bevarar personuppgifterna under längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen
• personuppgiftsbiträdet vidtar lämpliga säkerhetsåtgärder vid personuppgiftsbehandlingen
• personuppgifterna inte överförs till tredje land om det inte finns rättsligt stöd för överföringen
• det finns ett personbiträdesavtal med leverantören och med eventuella underleverantörer.

Schrems II

EU-dom C-311/18 (Schrems II) har stor påverkan på Skatteverkets möjligheter att använda sig av molntjänster. EU-domstolen har i domen tagit ställning till hur överföring av personuppgifter får ske ut ur den europeiska unionen och EES till främst USA med hänsyn till olika skyddsmekanismer.

För överföring av personuppgifter till tredje land måste en personuppgiftsansvarig ha ett antal förutsättningar på plats. Den främsta principen för sådan överföring är att uppgifterna har samma lagstadgade skydd i det mottagande tredje landet som inom EU genom EU:s dataskyddsförordning. Om det tredje landet saknar ett lagstadgat skydd som motsvarar EU:s dataskyddsförordning kan kompenserande åtgärder genom avtal mellan EU och det tredje landet skapas, alternativt att parterna använder så kallade ”standardavtalsklausuler” (Standard Contractual Clauses, SCC).

EU-domstolen har analyserat tillämpningen av avtalet EU-US Privacy Shield som EU-kommissionen beslutade om 12 juli 2016 samt tillämpningen av SCC vid överföring av personuppgifter till USA. Slutsatsen var att överföring av personuppgifter till USA inte är tillåtet med hänsyn till USA:s inskränkande övervakningslagar där europeiska invånare inte har en juridisk möjlighet att utöva sina rättigheter. Detsamma gäller vid tillämpningen av SCC som mekanism eftersom amerikanska myndigheter inte omfattas av det avtal som träffas med hjälp av den mekanismen.

Eftersom användning av molntjänster kan innebära att sekretessreglerade uppgifter röjs till en utomstående part, ska det även prövas om Skatteverkets användning av molntjänsten är förenlig med gällande sekretessregler.

Den europeiska dataskyddsstyrelsen har tagit fram rekommendationer om vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till länder utanför EU och EES när skyddsnivån i mottagarlandet inte kan anses tillförsäkra en likvärdig skyddsnivå i enlighet med EU:s dataskyddsförordning. Rekommendationerna finns bl.a. på IMY:s webbplats.