Gå till startsidan
Intranät Helsingborg

Nytt beslut och lagstiftning påverkar hur staden arbetar med personuppgifter och sekretessbelagda uppgifter

MN
Maria Nordstrand Författare
Publicerad: Uppdaterad:
Detta innehåll är äldre än 60 dagar.

Under sommaren har det kommit ett nytt beslut gällande möjligheter att överföra personuppgifter till leverantörer i USA. Det är också ny lagstiftning om hur sekretessbelagda uppgifter kan lämnas ut till privata leverantörer. Stadsjuridiska enheten informerar om vad som gäller.

Dataskyddsförordningen, kallad GDPR, är en europeisk lagstiftning som syftar till att skydda enskildas personliga integritet när deras personuppgifter hanteras. Helsingborgs stad ska följa dataskyddsförordningen när vi hanterar personuppgifter, läs mer om detta. 

I takt med Helsingborgs stads digitalisering ökar också antalet privata leverantörer som hanterar personuppgifter och sekretessbelagda uppgifter för stadens räkning. Många it-företag är baserade i USA eller använder sig av underleverantörer som är baserade i USA. Frågan om överföring av personuppgifter till USA blir därför ofta aktuell i digitaliseringsprojekt.

EU-U.S. Data Privacy Framework påverkar hur staden kan hantera personuppgifter

Under sommaren 2023 fattade EU-kommissionen ett beslut om adekvat skyddsnivå för USA. Beslutet innebär att personuppgifter får överföras till mottagare i USA, förutsatt att mottagaren omfattas av EU-U.S. Data Privacy Framework (DPF). Läs mer om vad DPF innebär.

Beslutet är ett resultat av förhandlingar mellan EU och USA. EU-domstolen i den så kallade Schrems II-domen under sommaren 2020 ogiltigförklarade föregångaren Privacy Shield med tillhörande adekvansbeslut. Genom DPF har USA infört åtgärder för att åtgärda de brister som EU-domstolen pekat på när det gäller att hantera personuppgifter.

Är det nu alltid tillåtet att överföra personuppgifter till USA?

Nej. Beslutet innebär att EU-kommissionen har bedömt att USA har en tillräckligt hög skyddsnivå för personuppgifter och att det därför är tillåtet att överföra personuppgifter till USA, men bara om det mottagande företaget omfattas av DPF.

De amerikanska företag som vill ingå i DPF kan certifiera sig genom en självcertifieringsprocess. Certifierade företag publiceras på en lista på Data Privacy Framework-programmets webbplats. Denna webbplats och listan över certifierade mottagare administreras av det amerikanska handelsdepartementet.

Osäkert hur länge beslutet kommer gälla

EU-domstolen har ogiltigförklarat EU-kommissionens två tidigare beslut om adekvat skyddsnivå för USA. Det kan också hända med beslutet om Data Privacy Framework. Stadsjuridiska enheten rekommenderar därför att verksamheter i Helsingborgs stad inte tecknar avtal där man är beroende av personuppgiftsbehandling i USA.

Vägledning för Helsingborgs stad

För att en överföring av personuppgifter till USA ska vara laglig krävs att mottagaren av personuppgifterna omfattas av DPF. Dessutom ska ytterligare regler i dataskyddsförordningen vara uppfyllda. Överväger du att överföra personuppgifter till USA eller något annat land utanför EU/EES behöver förutsättningarna för överföringen utredas grundligt.

Läs mer om överföring av personuppgifter till tredjeland och Data Privacy Framework.

Ny bestämmelse om sekretessbelagda uppgifter

En ny bestämmelse har under sommaren 2023 införts i offentlighets- och sekretesslagen (2009:400) (OSL). Den nya bestämmelsen, 10 kap. 2 a § OSL, ger ökade möjligheter för myndigheter att anlita en privat leverantör för lagring och drift av it-tjänster. Sekretessbelagda uppgifter kan nu lämnas ut för teknisk bearbetning eller teknisk lagring hos privata leverantörer eller andra myndigheter, om det med hänsyn till omständigheterna inte är olämpligt att uppgifterna lämnas ut.

Innan Helsingborgs stad beslutar om att utkontraktera it-tjänster med sekretessreglerade uppgifter måste först en bedömning göras av om det är olämpligt att uppgifterna lämnas ut. Det innebär att den verksamhet i staden som vill lämna ut sekretessbelagda uppgifter till en leverantör först måste pröva om det finns skäl som talar emot att uppgifterna lämnas ut.

Vägledning för Helsingborgs stad

Arbete pågår med att ta fram en bedömningsmall inför utkontraktering av sekretessbelagda uppgifter.

Mer information

Har du juridiska frågor om att överföra personuppgifter till tredjeland eller utkontraktering av sekretessbelagda uppgifter? Kontakta stadsjuridiska enheten Veronika Bernhardsson Ozmec,  veronika.b.ozmec@helsingborg.se och Elisabet Edström, Elisabet.Edstrom@helsingborg.se.

Har du praktiska frågor om att överföra personuppgifter till tredjeland? Kontakta samordnaren för personuppgiftsfrågor på din förvaltning.

Avbryt
Du behöver logga in för att kunna lämna en kommentar.

Länk otillgänglig

Den här länken kan inte nås på ditt nuvarande nätverk. Systemet du försöker nå är endast tillgängligt genom en säker, auktoriserad anslutning.

För att få åtkomst behöver du antingen vara ansluten till nätverket på en specifik plats, som ett kontor, eller använda en säker anslutningsmetod, som en VPN.

Vänligen säkerställ att du är ansluten till rätt nätverk för att fortsätta.

Fortsätt ändå