Fritt flöde av icke-personuppgifter

Som privatperson, företag eller organisation har du rätt att använda, samla in, lagra, överföra och behandla icke-personuppgifter och använda datacentraler eller molntjänster var som helst i EU.

Det gör att du kan sänka dina kostnader och till exempel centralisera din it-infrastruktur i ett EU-land om du har verksamhet i flera länder.

Personuppgifter, icke-personuppgifter och blandade datamängder

Personuppgifter är information om en identifierad eller identifierbar person och omfattas av den allmänna dataskyddsförordningen (GDPR).

Icke-personuppgifter är uppgifter som

• inte gäller en identifierad eller identifierbar person, t.ex. information om vädret
• ursprungligen var personuppgifter men som har avidentifierats och inte längre kan kopplas till en viss person.

Blandade datamängder är samlingar av både personuppgifter och icke-personuppgifter, till exempel ett företags skatteuppgifter med vd:ns namn och telefonnummer. I de flesta fall är de olika typerna av uppgifter i blandade datamängder omöjliga att skilja åt. Om du hanterar sådana blandade datamängder måste du därför följa den allmänna dataskyddsförordningen (GDPR).

Lagra dina uppgifter var som helst i EU, till exempel i molnet

Förutom i de undantagsfall som beskrivs nedan kan du välja var uppgifterna ska lagras eller behandlas.

Om du använder en molntjänst för att lagra dina uppgifter omfattar EU:s regler följande:

• Du kan enkelt byta till en annan molntjänstleverantör eller överföra uppgifterna till ditt eget it-system.
• Leverantörerna måste ge dig dina data i ett gemensamt, maskinläsbart format och får inte införa hinder mot att byta leverantör.
• Om du använder infrastrukturtjänster måste den nya leverantören leverera jämförbara resultat för delade funktioner så att dina program fortsätter att fungera.
• Leverantörer får ta ut begränsade avgifter för bytet och för att överföra data från en molntjänst (uttag). De kan bara ta ut det belopp som de själva betalar för att du ska kunna byta leverantör och flytta dina data.

Begränsningar för datalokalisering i EU

I undantagsfall får EU-länderna begränsa vart vissa uppgifter får överföras, men bara om det kan motiveras med hänsyn till den allmänna säkerheten, till exempel om uppgifterna gäller pågående terrorismutredningar, eller om förlust av data skulle kunna leda till en allvarlig olycka (t.ex. flygledningsuppgifter). Undantagen beror på den nationella lagstiftningen. I EU:s förordning om det fria flödet av icke-personuppgifter finns information om sådana datalokaliseringsbegränsningar.

Dela data med myndigheterna

Om en behörig myndighet av legitima skäl begär att få tillgång till dina uppgifter måste du lämna ut dem, även om uppgifterna hanteras eller lagras i ett annat EU-land. Om du inte gör det får myndighetens land utfärda sanktioner i enlighet med nationell lagstiftning.

Nationella informations- och kontaktpunkter

Enligt EU-reglerna om det fria flödet av icke-personuppgifter måste alla EU-länder ha

• en gemensam informationspunkt – en officiell webbplats med landets information om begränsningar och krav för datalokalisering
• en gemensam kontaktpunkt – en fysisk adress och/eller en mejladress som du kan kontakta för mer information.

Under Fråga myndigheterna nedan hittar du mer information.