Vid överföring av personuppgifter till medlemsstater, tredje land och internationella organisationer gäller särskilda regler som Skatteverket måste följa. Med medlemsstater menas stater som är medlemmar i EU samt Island, Liechtenstein, Norge och Schweiz. Reglerna om överföring av personuppgifter omfattar även överföring till internationella organisationer. Bestämmelserna kan även aktualiseras när personuppgifter behandlas i en molntjänst.
Nytt: 2023-02-06
I årsutgåva 2023 har information om brottsdatalagen och brottsdataförordningen flyttats till sidan Överföring till tredje land och personuppgiftsbehandling i molntjänster.
Att föra över uppgifter till ett tredje land innebär att personuppgifter som finns i Sverige lämnas ut och att uppgifterna efter utlämnandet blir tillgängliga i ett land utanför EU och EES. Exempel på sådan överföring är
överföring av formulär med personuppgifter som inte behandlas inom EU eller EES men som ska behandlas i ett tredje land (SOU 1997:39).
Om Skatteverket vill föra över personuppgifter till tredje land eller en internationell organisation finns det flera bestämmelser i EU:s dataskyddsförordning som Skatteverket måste ta hänsyn till (art 44 i EU:s dataskyddsförordning).
Skatteverket får bara föra över personuppgifter till tredje land eller en internationell organisation om något av följande villkor är uppfyllt:
En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation är ett utlämnande i OSL:s mening. En sådan överföring av personuppgifter måste därför också ske i enlighet med reglerna om offentlighet och sekretess. (Jfr prop. 2017/18:232 sid. 400 ff.).
Storbritanniens utträde ur EU innebär att Storbritannien från den 1 januari 2021 är ett tredje land enligt EU:s dataskyddsförordning. EU-kommissionen har fattat ett beslut om adekvat skyddsnivå enligt EU:s dataskyddsförordning. Beslutet innebär att Storbritannien har en tillräckligt hög skyddsnivå och att personuppgifter får föras över dit utan något särskilt tillstånd.
Personuppgifter får i särskilda fall och vid enstaka tillfällen föras över (artikel 49 i EU:s dataskyddsförordning), trots att beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder inte finns. Undantagen ska tillämpas restriktivt. Särskilda situationer som omfattas av undantaget är t.ex.:
Vid publicering av personuppgifter på internet ska man följa bestämmelserna i EU:s dataskyddsförordning. Det innebär bl.a. att man ska ta hänsyn till bestämmelserna i art 44-50 i EU:s dataskyddsförordning. Frågan är då om man genom publicering på internet överför personuppgifter till tredje land.
EU-domstolen har uttalat att om man publicerar personuppgifter på internet innebär det inte en överföring av personuppgifter till tredje land om den webbplats där uppgifterna publiceras finns lagrad hos en webbhotelleverantör som är etablerad i en medlemsstat inom EU (C-101/01, Bodil Lindqvist).
Skatteverket måste ta hänsyn till bestämmelserna om överföring av personuppgifter till tredje land om Skatteverket vill behandla personuppgifter, eller låta ett personuppgiftsbiträde behandla personuppgifter, i någon form av molnbaserad datortjänst som innebär att uppgifterna kan komma att behandlas i ett tredje land.
Med molnbaserad datortjänst menas en tjänst där en leverantör erbjuder möjlighet till t.ex. lagring eller processorkraft i servrar som kontrolleras av leverantören och där servrarna finns utspridda på olika geografiska platser.
Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som sker för Skatteverkets räkning i en molnbaserad datortjänst. Molntjänstleverantören, och dennas underleverantörer, är personuppgiftsbiträden åt Skatteverket. Det innebär att Skatteverket ansvarar bland annat för att
EU-dom C-311/18 (Schrems II) har stor påverkan på Skatteverkets möjligheter att använda sig av molntjänster. EU-domstolen har i domen tagit ställning till hur överföring av personuppgifter får ske ut ur den europeiska unionen och EES till främst USA med hänsyn till olika skyddsmekanismer.
För överföring av personuppgifter till tredje land måste en personuppgiftsansvarig ha ett antal förutsättningar på plats. Den främsta principen för sådan överföring är att uppgifterna har samma lagstadgade skydd i det mottagande tredje landet som inom EU genom EU:s dataskyddsförordning. Om det tredje landet saknar ett lagstadgat skydd som motsvarar EU:s dataskyddsförordning kan kompenserande åtgärder genom avtal mellan EU och det tredje landet skapas, alternativt att parterna använder så kallade ”standardavtalsklausuler” (Standard Contractual Clauses, SCC).
EU-domstolen har analyserat tillämpningen av avtalet EU-US Privacy Shield som EU-kommissionen beslutade om 12 juli 2016 samt tillämpningen av SCC vid överföring av personuppgifter till USA. Slutsatsen var att överföring av personuppgifter till USA inte är tillåtet med hänsyn till USA:s inskränkande övervakningslagar där europeiska invånare inte har en juridisk möjlighet att utöva sina rättigheter. Detsamma gäller vid tillämpningen av SCC som mekanism eftersom amerikanska myndigheter inte omfattas av det avtal som träffas med hjälp av den mekanismen.
Eftersom användning av molntjänster kan innebära att sekretessreglerade uppgifter röjs till en utomstående part, ska det även prövas om Skatteverkets användning av molntjänsten är förenlig med gällande sekretessregler.
Den europeiska dataskyddsstyrelsen har tagit fram rekommendationer om vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till länder utanför EU och EES när skyddsnivån i mottagarlandet inte kan anses tillförsäkra en likvärdig skyddsnivå i enlighet med EU:s dataskyddsförordning. Rekommendationerna finns bl.a. på IMY:s webbplats.