OBS: Detta är utgåva 2024.1. Visa senaste utgåvan.

Vid överföring av personuppgifter till medlemsstater, tredje land och internationella organisationer gäller särskilda villkor som Skatteverket måste beakta. Med medlemsstater menas stater som är medlemmar i EU samt Island, Liechtenstein, Norge och Schweiz. Reglerna om överföring av personuppgifter omfattar även överföring till internationella organisationer. Bestämmelserna kan även aktualiseras när personuppgifter behandlas i en molntjänst.

Överföring till tredje land eller internationella organisationer

Att föra över uppgifter till ett tredje land innebär att personuppgifter som finns i Sverige lämnas ut och att uppgifterna efter utlämnandet blir tillgängliga i ett land utanför EU och EES. Med överföring av personuppgifter menas exempelvis

  • överföring av personuppgifter för lagring på en server i ett tredje land
  • överföring av formulär med personuppgifter som inte behandlas inom EU eller EES men som ska behandlas i ett tredje land (SOU 1997:39)
  • överföring genom att informationen tillförs ett för de behöriga myndigheterna gemensamt datasystem (Interpol).

Villkor för överföring av personuppgifter till tredje land eller internationella organisationer

Om Skatteverket vill föra över personuppgifter till tredje land eller en internationell organisation finns det vissa bestämmelser i brottsdatalagen som Skatteverket måste ta hänsyn till (8 kap. BDL).

Det är inte ovanligt att personuppgifter överförs till tredjeland genom så kallade nationella kontaktpunkter inom ramen för internationellt samarbete i den brottsbekämpande verksamheten. Syftet med nationella kontaktpunkter är att underlätta det internationella samarbetet genom att varje stat pekar ut en viss myndighet som är ständigt tillgänglig och genom vilken all information till staten kanaliseras, oberoende av vem den slutliga mottagaren är. Kontaktpunkten ser till att informationen omedelbart vidarebefordras till mottagaren. Det är dock endast behöriga myndigheter som kan fungera som kontaktpunkter för informationsutbyte inom ramlagens tillämpningsområde. För att överföring ska få ske måste även de grundläggande kraven för behandling enligt brottsdatalagen vara uppfyllda.

Skatteverket får bara föra över personuppgifter till tredje land eller en internationell organisation om något av följande villkor är uppfyllt:

  • EU-kommissionen har beslutat att ett tredje land eller en internationell organisation säkerställer en adekvat skyddsnivå. Ett sådant beslut kan också gälla ett visst territorium i ett tredje land (8 kap. 3 § BDL).
  • Om det inte finns något beslut om adekvat skyddsnivå, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation om skyddsåtgärder för personuppgifterna har fastställts i ett avtal som ger tillräckliga garantier till skydd för den registrerade, eller om den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för uppgifterna. (8 kap. 4 § BDL).

En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation är ett utlämnande i OSL:s mening. En sådan överföring av personuppgifter måste därför också ske i enlighet med reglerna om offentlighet och sekretess (prop. 2017/18:232 sid. 400 f.).

Storbritanniens utträde ur EU innebär att Storbritannien från den 1 januari 2021 är ett tredje land enligt brottsdatalagen. EU-kommissionen har fattat två beslut om adekvat skyddsnivå enligt brottsdatadirektivet. Besluten innebär att Storbritannien har en tillräckligt hög skyddsnivå och att personuppgifter får föras över dit utan något särskilt tillstånd.

Undantag i särskilda situationer enligt brottsdatalagen

Personuppgifter får ändå föras över till ett tredjeland eller en internationell organisation trots att beslut om adekvat skyddsnivå inte finns om något av följande villkor är uppfyllt (8 kap. 4 § BDL):

  • skyddsåtgärder för personuppgifterna har fastställts i ett avtal som ger tillräckliga garantier till skydd för den registrerade
  • den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.

Om det inte finns något beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder får en överföring eller en samling av överföringar av personuppgifter, ändå göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig om något av följande villkor är uppfyllt (8 kap. 5 § BDL):

  • värna den registrerades eller någon annan fysisk persons vitala intressen, eller andra berättigade intressen som den registrerade har
  • i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet
  • i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i punkten ovan
  • avvärja en omedelbar och allvarlig fara för allmän säkerhet.

Om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse får en överföring emellertid inte göras (8 kap. 5 § 2 stycket BDL).

Överföring av personuppgifter enligt 8 kap. 4 § 2 och 5 § BDL ska dokumenteras och dokumentationen ska på begäran göras tillgänglig för Integritetsskyddsmyndigheten. Vilka uppgifter dokumentationen ska innehålla framgår av 7 kap. 3 § BDF.

Särskilda villkor (användningsbegränsningar) när Skatteverket fått personuppgifter med stöd av brottsdatalagen

Om Skatteverket har fått personuppgifter från ett tredjeland eller en internationell organisation och det finns särskilda användningsbegränsningar uppställda i en överenskommelse, ska Skatteverket följa villkoren oavsett vad som är föreskrivet i lag eller annan författning (8 kap. 9 § BDL).

Skatteverket får, vid överföring av personuppgifter till ett tredjeland eller en internationell organisation, i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till den enskildas rätt eller från allmän synpunkt. Sådana villkor får emellertid inte strida mot en internationell överenskommelse som är bindande för Sverige (8 kap. 10 § BDL).

Om Skatteverket ska överföra personuppgifter till ett tredje land eller en internationell organisation kan Skatteverket behöva ställa upp villkor för att mottagaren ska få använda personuppgifterna. Användningsbegränsningar får emellertid endast tillämpas i enskilda fall och villkoren får inte strida mot en bindande internationell överenskommelse. Det innebär i så fall också en skyldighet att i vissa fall dokumentera överföringar som görs till tredjeland eller internationella organisationer och en skyldighet att informera tillsynsmyndigheten om vissa överföringar till tredjeland och internationella organisationer (prop. 2017/18:232 sid. 397 f).

Molntjänster omfattas av reglerna om överföring till tredje land

Skatteverket måste ta hänsyn till bestämmelserna om överföring av personuppgifter till tredje land om Skatteverket vill behandla personuppgifter, eller låta ett personuppgiftsbiträde behandla personuppgifter, i någon form av molnbaserad datortjänst som innebär att uppgifterna kan komma att behandlas i ett tredje land.

Referenser på sidan

Lagar & förordningar

Propositioner

  • Proposition 2017/18:232 Brottsdatalag [1] [2]

Övrigt

  • SOU 1997:39 [1]