Publicerad 6 maj 2022

Överföring av personuppgifter till tredje land för forskning

Här beskrivs övergripande de rättsliga förutsättningarna att överföra personuppgifter till tredje land för forskning.

Oavsett möjligheten att överföra personuppgifter till ett tredje land måste en personuppgiftsansvarig i Sverige alltid följa alla de övriga krav som följer av dataskyddsförordningen (GDPR), till exempel de grundläggande dataskyddsprinciperna, och reglerna om när sådan behandling över huvud taget är tillåten. Personuppgiftsansvariga måste således först avgöra om den behandling som överföringen innebär är laglig i sig, därefter är det relevant att bedöma vad som krävs för en överföring till ett specifikt tredje land.

Huvudregel vid överföring av personuppgifter

En överföring till tredje land innebär att personuppgifter som behandlas i ett EU- eller EES-land görs tillgängliga i ett land utanför EU/EES-området. En överföring inom EU/EES-området omfattas alltså inte av tredjelandsreglerna. Som allmän princip gäller enligt artikel 44 i dataskyddsförordningen att överföring av personuppgifter till ett tredjeland eller en internationell organisation bara får ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i dataskyddsförordningen, uppfyller villkoren i artikel 45–49.

Undantag vid överföring av personuppgifter

Av artikel 45 i dataskyddsförordningen framgår att personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. Artikeln förutsätter alltså ett beslut från kommissionen.

EU-kommissionen har analyserat dataskyddsreglerna i olika länder och fattat beslut om att skyddsnivån i följande länder är adekvat:

  • Andorra
  • Argentina
  • Bailiwick of Guernsey
  • Färöarna
  • Isle of Man
  • Israel
  • Japan
  • Jersey
  • Nya Zeeland
  • Schweiz
  • Storbritannien
  • Sydkorea
  • Uruguay

Dessutom har EU-kommissionen bedömt att skyddsnivån är adekvat på vissa områden eller under särskilda villkor i Kanada om deras lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling.

Lämpliga skyddsåtgärder och lagstadgade rättigheter för registrerade

I avsaknad av ett beslut från kommissionen får en personuppgiftsansvarig eller ett personuppgiftsbiträde enligt artikel 46 i dataskyddsförordningen endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga. Lämpliga skyddsåtgärder får bl.a. ta formen av bindande företagsbestämmelser, för vilka förutsättningarna anges i artikel 47 i dataskyddsförordningen, eller standardiserade dataskyddsbestämmelser som antas av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.2. Kommissionen har beslutat standardavtalsklausuler som kan användas mellan personuppgiftsansvariga, mellan personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden om någon av aktörerna finns i tredjeland.

Artikel 48 i dataskyddsförordningen slår fast att domstolsbeslut eller beslut från myndigheter i tredjeland om krav på att lämna ut personuppgifter får erkännas eller genomföras endast om det grundar sig på en internationell överenskommelse, som gäller mellan det begärande tredjelandet och unionen eller en medlemsstat.

Undantag i särskilda situationer

Om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45 eller vidtagna lämpliga skyddsåtgärder enligt artikel 46, får personuppgifter överföras till ett tredjeland eller en internationell organisation endast om minst ett av flera – i artikel 49 i dataskyddsförordningen angivna – villkor är uppfyllt. Personuppgifter får överföras om överföringen sker med stöd av samtycke från den registrerade (a), om överföringen är nödvändig för att fullgöra ett avtal mellan den personuppgiftsansvarige och den registrerade eller en annan fysisk eller juridisk person som agerar i den registrerades intresse (b och c), om överföringen är nödvändig av viktiga skäl som rör allmänintresset (d), om överföringen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk (e), om överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke (f), eller om överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information (g).

Åtgärder av myndigheter och krav på allmänintresse

Av artikel 49.3 i dataskyddsförordningen framgår att åtgärder som vidtas av offentliga myndigheter som ett led i myndighetsutövning inte får vidtas med stöd av samtycke eller för att överföringen är nödvändig för att fullgöra ett avtal mellan den personuppgiftsansvarige och den registrerade eller en annan fysisk eller juridisk person som agerar i den registrerades intresse.

Kravet på ett allmänintresse, om överföringen sker för att den är nödvändig av viktiga skäl som rör allmänintresset, ska enligt artikel 49.4 i dataskyddsförordningen vara erkänd i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av.

I artikel 49.5 i dataskyddsförordningen ges möjlighet att i unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation, om beslut om adekvat skyddsnivå saknas.

Överföring i enstaka fall

Om en överföring inte har stöd i artikel 45 eller 46 och inget av undantagen i artikel 49.1 första stycket i dataskyddsförordningen är tillämpligt, får en överföring till ett tredjeland eller en internationell organisation enligt artikel 49.1 andra stycket äga rum endast om överföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. Den personuppgiftsansvarige ska informera tillsynsmyndigheten om överföringen.

Läs vidare

Europeiska dataskyddsstyrelsen (EDPB) har publicerat rekommendationer om adekvata skyddsåtgärder för tredjelandsöverföring. Rekommendationerna är ett svar på EU-domstolens dom i Schrems II.

Till rekommendationen på European Data Protection Board

Ytterligare information om internationell forskning finns i vägledningen Kvalitetsregisteruppgifter för forskning.

Kvalitetsregisteruppgifter för forskning

Informationsansvarig

  • Manólis Nymark
    Konsult

Kontakta oss

Kontakta Nationella Kvalitetsregister

Här kan du kontakta stödfunktionen för Nationella Kvalitetsregister vid SKR.