Tidigare fanns det två huvudsakliga sätt att överföra personuppgifter från EU till USA

Fram till den 16 juli 2020 fanns två huvudsakliga sätt att överföra personuppgifter från EU till USA: att basera överföringen på Privacy Shield-avtalet mellan EU och USA (enligt avtalet kan aktörer i USA ansluta sig och intyga att de kommer att leva upp till dataskyddsförordningens (GDPR) krav på dataskydd) eller att basera överföringen på standardavtalsklausuler (där den som exporterar data från EU och den som mottar data i USA skriver ett kontrakt som uppfyller kraven i GDPR).

Privacy Shield utgör inte längre en giltig grund för överföring av personuppgifter från EU till mottagare i USA

Ett avgörande från EU-domstolen den 16 juli 2020 innebär att Privacy Shield inte längre utgör en giltig grund för överföring av personuppgifter från EU till mottagare i USA. EU-domstolen yttrade också att när det gäller standardavtalsklausuler måste exportören av data (t ex en forskare vid SU som sänder personuppgifter till en partner i USA) försäkra sig om att mottagaren av data har faktiska möjligheter att leva upp till avtalet. När det gäller USA riskerar detta att bli mycket svårt givet de amerikanska myndigheternas långtgående rättigheter när det gäller åtkomst till data.
I ljuset av detta är det av största vikt att forskare med pågående eller planerade överföringar av personuppgifter till USA försäkrar sig om att de kan göra detta på ett lagligt sätt. I praktiken bör sådana överföringar begränsas i största möjliga mån. Förutom att allmänhetens förtroende för forskning riskerar att skadas, är det värt att notera att brott mot regler på detta område kan rendera höga sanktionsavgifter.

Kontakt

För forskningsprojekt där överföringar av personuppgifter till USA inte kan undvikas, kontakta etikstödfunktionen vid Avdelningen för forsknings- och samverkansstöd (etik@fs.su.se) eller Rättssekretariatet (Fråga Juristen via Serviceportalen).

*Dataskyddsförordningen (GDPR) ger följande definition i artikel 4(1): personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Tips på vidare läsning:

Information om det större sammanhanget ges i denna artikel från BBC: https://www.bbc.com/news/technology-53418898
Ett yttrande från den Europeiska Dataskyddsstyrelsen rörande EU-domstolens avgörande: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en< />