Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Överföring av personuppgifter till tredje land

Överföring av personuppgifter till tredje land

Övrigt

Fråga:

I min egenskap av personuppgiftsombud vid myndigheten vill jag be Datainspektionen om stöd i en fråga som gäller vilka länder som kan godkännas vid överföring av personuppgifter (tredje land).

Vi avser att bygga en ny internationell databas för lagring av analysdata och andra undersökningsresultat. Arbetet utförs i samarbete med flera andra länder.

I den egentliga databasen kommer inte att finnas personuppgifter, men det kommer att finnas uppgifter med vars hjälp man kan länka sig vidare — om man är behörig — till andra databaser där det finns uppgifter om namn och andra personuppgifter. Dessutom kan man med stöd av offentlighetsprincipen begära att få ut information som ger sådana direkta personuppgifter. Min bedömning är dock att det finns stöd i personuppgiftslagen § 10 f för att lägga upp den tänkta databasen.

Den fråga jag skulle behöva Datainspektionens stöd med tolkningen av, är vilka länder (tredje land) som "inte har en adekvat nivå för skyddet av personuppgifterna" (personuppgiftslagen § 33). Enligt personuppgiftslagen § 3 avses med Tredje land "en stat som inte ingår i Europeiska Unionen eller är ansluten till Europeiska ekonomiska samarbetsområden". I personuppgiftsförordningen (§ 13 och i en bilaga) finns ytterligare kriterier för att pröva hur överförning får ske och till vilka länder.

Min fråga är om Finland, England, Holland, Danmark, Polen, Frankrike, Australien, Norge, Belgien, Estland, Tyskland, Schweiz, Tjeckien och USA kan betraktas som godkänt tredje land i det här fallet?

Svar:

Du har begärt samråd med Datainspektionen i en fråga som rör bedömning av adekvat skyddsnivå vid överföring av personuppgifter till länder utanför EU och EES, så kallad tredje land. Av handlingarna framgår i huvudsak följande. Myndigheten avser att bygga upp en databas för lagring av analysdata och undersökningsresultat från undersökningar av narkotikabeslag. Arbetet utförs i samarbete med ett flertal länder och med stöd i det europeiska samarbetet mot narkotika. Uppgifter som ska behandlas i databasen innefattar lokala diarienummer och referensnummer, till exempel myndighetens diarienummer och polisens beslagsliggarnummer, vilket ger möjlighet att i andra databaser få information om personer från vilka polis och tull har tagit narkotika i beslag. Även uppgifter om signaturer för personer som utför analyser kommer att registreras i databasen. I samarbetet deltar förutom länder inom EU och EES även Schweiz, Australien och USA.

Enligt 3 § personuppgiftslagen är personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även om det krävs tillgång till uppgifter som finns lagrade på annat håll för att identifiera en fysisk person är uppgifterna i databasen således personuppgifter.

För överföring av personuppgifter till tredje land, ett land utanför EU och EES, finns restriktiva bestämmelser i 33-35 §§ personuppgiftslagen. Det är enligt 33 § personuppgiftslagen förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen.

EG-kommissionen kan enligt artikel 25.6 i dataskyddsdirektivet (95/46/EG) fatta bindande beslut i frågan om ett land har en adekvat skyddsnivå. EG-kommissionen har fattat beslut om adekvat skyddsnivå i Schweiz och enligt så kallade Safe Harbor-principer i USA. Enligt 13 § personuppgiftsförordningen får personuppgifter överföras till tredje land om EG-kommissionen har konstaterat att landet har en adekvat skyddsnivå.

Safe Harbor innebär att organisationer i USA frivilligt kan ansluta sig till vissa dataskyddsprinciper, vilka av EG-kommissionen har bedömts säkerställa ett adekvat skydd och uppfylla villkoren i dataskyddsdirektivet om överföring till tredje land. En förutsättning för att en organisation skall kunna ansluta sig till Safe Harbor är att organisationen omfattas av de lagstadgade befogenheter som tillkommer någon av de myndigheter i USA som är bemyndigade att handlägga bl.a. klagomål och utverka skadestånd åt enskilda. I ärendet är det aktuellt att överföra personuppgifter till en myndighet, Drug Enforcement Agency, i USA. Arbetsgruppen inrättad enligt artikel 29 i dataskyddsdirektivet har i ett yttrande (WP 66) uttalat att begränsningen av Safe Harbor innebär att den inte kan användas när det gäller överföring av personuppgifter till statliga myndigheter.

Trots förbudet att överföra personuppgifter till ett land som inte har en adekvat skyddsnivå är det enligt 34 § personuppgiftslagen i vissa fall tillåtet att föra över personuppgifter till tredje land. Inga av dessa villkor är dock tillämpliga i ärendet.

Regeringen eller den myndighet som regeringen bestämmer har genom 35 § personuppgiftslagen getts möjlighet att föreskriva om ytterligare undantag från förbudet om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. I dataskyddsdirektivet anges som exempel på ett viktigt allmänt intresse där undantag kan meddelas utbyte av uppgifter mellan tullmyndigheter. Regeringen kan både meddela generella föreskrifter om undantag samt meddela beslut om undantag i enskilda fall. Personuppgiftsansvariga kan således ansöka om undantag för vissa bestämda överföringar som de avser att genomföra.

Regeringen har genom 14 § personuppgiftsförordningen bemyndigat Datainspektionen att meddela föreskrifter om undantag samt efter ansökan meddela beslut om undantag i enskilda fall om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Datainspektionen kan inte inom ramen för detta ärende ta ställning till om sådana tillräckliga garantier föreligger.

Vid behandling av personuppgifter i polisens verksamhet finns det särskilda regler när det gäller överföring i brottsutredande verksamhet.

Enligt Datainspektionens mening torde således en överföring av personuppgifter till USA och Australien, utan särskilda överenskommelser, föreskrifter eller beslut om undantag, strida mot bestämmelserna i personuppgiftslagen.

(Februari, 2006)

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.