EU-domen (Schrems II) för överföringar av personuppgifter till tredje land

Bakgrund

Enligt EU:s allmänna dataskyddsförordning (GDPR) får överföringar av personuppgifter utanför EES/EU-området (sk. tredje land), endast ske om mottagarlandet har en s.k. adekvat skyddsnivå, d.v.s. säkerställer en hög skyddsnivå för uppgifterna. Ett antal länder utanför EES/EU har av EU-kommissionen bedöms ha en adekvat skyddsnivå för personuppgifterna (för aktuell lista:se här ).

Företag och organisationer i USA har kunnat självcertifiera sig till Privacy Shield. Privacy Shield syftar till att garantera att personuppgifter som överförs till USA skyddas med en adekvat skyddsnivå. I en dom från EU-domstolen den 16 juli 2020 har Privacy Shield ogiltighetsförklarats. Konsekvensen av ogiltigförklarande av Privacy Shield blir att samtliga överföringar av personuppgifter är olagliga till de mottagare i USA som endast regleras av Privacy Shield. Om en överföring till USA sker med stöd av EU-kommissionens beslutade standardklausuler (SCC), är den fortsatt giltig.

Vad gör KTH

KTH har inte förlitat sig på Privacy Shield för KTH-molntjänster, t.ex. KTH Box, Adobe ETLA och Code42. Istället har KTH sett till att teckna personuppgiftsbiträdesavtal där SCC är med för hantering av personuppgifter i tredje land.

I arbetet med en forskningsstudie/- projekt eller samarbete där personuppgifter överförs till en partner i tredje land måste en bedömning göras om säkerheten för uppgifterna är tillräcklig i mottagarlandet och eventuellt komplettera med stärkta skyddsåtgärder.

Om överföringen endast regleras av Privacy Shield och personuppgifter överförs till USA behöver man antingen komplettera med SCC eller, om det inte går, avbryta överföringen.

Kontakta Dataskyddsombudet (dataskyddsombud@kth.se) om du vill ha hjälp med din bedömning eller har några frågor.

Om du vill läsa mer

Intergritetsskyddsmyndighetens, tidigare Datasinspektionen, hemsida  finns en översikt.

Europeiska dataskyddsstyrelsen har publicerat ett ställningstagande.