Överföring till tredje land och personuppgiftsbehandling i molntjänster

Överföring till tredje land eller internationella organisationer

Att föra över uppgifter till ett tredje land innebär att personuppgifter som finns i Sverige lämnas ut och att uppgifterna efter utlämnandet blir tillgängliga i ett land utanför EU och EES. Exempel på sådan överföring är

• överföring av personuppgifter för lagring på en server i ett tredje land

• överföring av formulär med personuppgifter som inte behandlas inom EU eller EES men som ska behandlas i ett tredje land (SOU 1997:39).

Villkor för överföring av personuppgifter till tredje land eller internationella organisationer

Om Skatteverket vill föra över personuppgifter till tredje land eller en internationell organisation finns det flera bestämmelser i EU:s dataskyddsförordning som Skatteverket måste ta hänsyn till (art 44 i EU:s dataskyddsförordning).

Skatteverket får bara föra över personuppgifter till tredje land eller en internationell organisation om något av följande villkor är uppfyllt:

• EU-kommissionen har beslutat att ett tredje land eller en internationell organisation säkerställer en adekvat skyddsnivå. Ett sådant beslut kan också gälla ett visst territorium, en internationell organisation eller en eller flera sektorer i ett tredje land (artikel 45 i EU:s dataskyddsförordning).
• Den som behandlar personuppgifterna har vidtagit lämpliga skyddsåtgärder. Dessutom måste det finnas möjligheter för den enskilda att få behandlingen prövad i domstol. De skyddsåtgärder som avses innebär att överföringen ska grunda sig på t.ex. standardiserade dataskyddsbestämmelser eller en certifiering som ska ha antagits eller godkänts av EU-kommissionen eller av en tillsynsmyndighet inom EU (art 46 i EU:s dataskyddsförordning).

En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation är ett utlämnande i OSL:s mening. En sådan överföring av personuppgifter måste därför också ske i enlighet med reglerna om offentlighet och sekretess. (Jfr prop. 2017/18:232 sid. 400 ff.).

Storbritanniens utträde ur EU innebär att Storbritannien från den 1 januari 2021 är ett tredje land enligt EU:s dataskyddsförordning. EU-kommissionen har fattat ett beslut om adekvat skyddsnivå enligt EU:s dataskyddsförordning. Beslutet innebär att Storbritannien har en tillräckligt hög skyddsnivå och att personuppgifter får föras över dit utan något särskilt tillstånd.

Undantag i särskilda situationer enligt EU:s dataskyddsförordning

Personuppgifter får i särskilda fall och vid enstaka tillfällen föras över (artikel 49 i EU:s dataskyddsförordning), trots att beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder inte finns. Undantagen ska tillämpas restriktivt. Särskilda situationer som omfattas av undantaget är t.ex.:

• den enskilda har samtyckt till att uppgifterna får överföras
• överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registrerade personen och den personuppgiftsansvariga
• överföringen är nödvändig av ett viktigt skäl som rör allmänintresset
• överföringen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk.

Innebär publicering av personuppgifter på internet en överföring till tredje land?

Vid publicering av personuppgifter på internet ska man följa bestämmelserna i EU:s dataskyddsförordning. Det innebär bl.a. att man ska ta hänsyn till bestämmelserna i art 44-50 i EU:s dataskyddsförordning. Frågan är då om man genom publicering på internet överför personuppgifter till tredje land.

EU-domstolen har uttalat att om man publicerar personuppgifter på internet innebär det inte en överföring av personuppgifter till tredje land om den webbplats där uppgifterna publiceras finns lagrad hos en webbhotelleverantör som är etablerad i en medlemsstat inom EU (C-101/01, Bodil Lindqvist).

Molntjänster omfattas av reglerna om överföring till tredje land

Skatteverket måste ta hänsyn till bestämmelserna om överföring av personuppgifter till tredje land om Skatteverket vill behandla personuppgifter, eller låta ett personuppgiftsbiträde behandla personuppgifter, i någon form av molnbaserad datortjänst som innebär att uppgifterna kan komma att behandlas i ett tredje land.

Med molnbaserad datortjänst menas en tjänst där en leverantör erbjuder möjlighet till t.ex. lagring eller processorkraft i servrar som kontrolleras av leverantören och där servrarna finns utspridda på olika geografiska platser.

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som sker för Skatteverkets räkning i en molnbaserad datortjänst. Molntjänstleverantören, och dennas underleverantörer, är personuppgiftsbiträden åt Skatteverket. Det innebär att Skatteverket ansvarar bland annat för att

• det finns en rättslig grund för personuppgiftsbehandlingen
• personuppgiftsbiträdet inte behandlar personuppgifterna för något annat ändamål än de ändamål som Skatteverket har bestämt för personuppgiftsbehandlingen
• personuppgiftsbiträdet inte bevarar personuppgifterna under längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen
• personuppgiftsbiträdet vidtar lämpliga säkerhetsåtgärder vid personuppgiftsbehandlingen
• personuppgifterna inte överförs till tredje land om det inte finns rättsligt stöd för överföringen
• det finns ett personbiträdesavtal med leverantören och med eventuella underleverantörer.

Schrems II

EU-dom C-311/18 (Schrems II) har stor påverkan på Skatteverkets möjligheter att använda sig av molntjänster. EU-domstolen har i domen tagit ställning till hur överföring av personuppgifter får ske ut ur den europeiska unionen och EES till främst USA med hänsyn till olika skyddsmekanismer.

För överföring av personuppgifter till tredje land måste en personuppgiftsansvarig ha ett antal förutsättningar på plats. Den främsta principen för sådan överföring är att uppgifterna har samma lagstadgade skydd i det mottagande tredje landet som inom EU genom EU:s dataskyddsförordning. Om det tredje landet saknar ett lagstadgat skydd som motsvarar EU:s dataskyddsförordning kan kompenserande åtgärder genom avtal mellan EU och det tredje landet skapas, alternativt att parterna använder så kallade ”standardavtalsklausuler” (Standard Contractual Clauses, SCC).

EU-domstolen har analyserat tillämpningen av avtalet EU-US Privacy Shield som EU-kommissionen beslutade om 12 juli 2016 samt tillämpningen av SCC vid överföring av personuppgifter till USA. Slutsatsen var att överföring av personuppgifter till USA inte är tillåtet med hänsyn till USA:s inskränkande övervakningslagar där europeiska invånare inte har en juridisk möjlighet att utöva sina rättigheter. Detsamma gäller vid tillämpningen av SCC som mekanism eftersom amerikanska myndigheter inte omfattas av det avtal som träffas med hjälp av den mekanismen.

Eftersom användning av molntjänster kan innebära att sekretessreglerade uppgifter röjs till en utomstående part, ska det även prövas om Skatteverkets användning av molntjänsten är förenlig med gällande sekretessregler.

Den europeiska dataskyddsstyrelsen har tagit fram rekommendationer om vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till länder utanför EU och EES när skyddsnivån i mottagarlandet inte kan anses tillförsäkra en likvärdig skyddsnivå i enlighet med EU:s dataskyddsförordning. Rekommendationerna finns bl.a. på IMY:s webbplats.