Områder med tilstrekkelig beskyttelsesnivå
EU-kommisjonen kan beslutte at en stat, et territorium, en sektor innad i en stat eller en internasjonal organisasjon har regler som ivaretar personvernet på en tilsvarende måte som land i EØS-området. Disse beslutningene kalles også adekvansbeslutninger.
Overføringer på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå omtales i artikkel 45 i personvernforordningen (lovdata.no).
Hvis EU-kommisjonen har fattet en slik beslutning, kan man overføre personopplysninger til landet, området eller den internasjonale organisasjonen. Overføringsgrunnlag eller godkjenning fra Datatilsynet er da ikke nødvendig. Overføringen vil være sammenlignbar med overføringer mellom land innenfor EØS.
Under følger en illustrasjon og fullstendige lister over stater, områder og internasjonale organisasjoner som har fått en beslutning om tilstrekkelig beskyttelsesnivå under personvernforordningen:
Illustrasjon: stater, områder og internasjonale organisasjoner med tilstrekkelig beskyttelsesnivå
Stater med tilstrekkelig beskyttelsesnivå
Følgende stater har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå under personvernforordningen:
- Andorra
- Argentina
- Brasil
- Canada (hvis dataimportøren er underlagt Personal Information Protection and Electronic Documents Act (PIPEDA), som er en kanadisk føderal lov for privat sektor)
- Israel
- Japan (hvis dataimportøren er underlagt Act on the Protection of Personal Information (APPI), som er en japansk lov for privat sektor – merk at noen bransjer er unntatt, blant annet presse og universiteter)
- New Zealand
- Sveits
- Storbritannia
- Sør-Korea (hvis dataimportøren er underlagt den sørkoreanske loven om behandling av personopplysninger)
- Uruguay
- USA (hvis dataimportøren står på listen over virksomheter som er sertifisert under EU-U.S. Data Privacy Framework.
Områder med tilstrekkelig beskyttelsesnivå
Følgende områder har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå under personvernforordningen:
- Færøyene (hvis dataimportøren er underlagt den færøyske loven om behandling av personopplysninger)
- Guernsey
- Isle of Man
- Jersey
Internasjonale organisasjoner med tilstrekkelig beskyttelsesnivå
Følgende internasjonale organisasjoner har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå under personvernforordningen:
- Den europeiske patentorganisasjonen (European Patent Organisation)
Merknader
Merk at enkelte adekvansbeslutninger kan ha unntak. Vi anbefaler derfor å kikke på informasjonen som EU-kommisjonen selv har publisert.
Se oversikten over beslutningene fra Europakommisjonen (ec.europa.eu).
USA har en adekvansbeslutning som innebærer at hvis en amerikansk virksomhet står på lista over godkjente virksomheter (dataprivacyframework.gov), kan det overføres personopplysninger til den som om det var en europeisk virksomhet. Se også nyhetssaken vår fra juli 2023 om overføring til USA med tilhørende spørsmål og svar.
Når det foreligger en beslutning om tilstrekkelig beskyttelsesnivå, trenger ikke virksomheten foreta egne vurderinger om beskyttelsesnivået. EU-kommisjonen har gjort dette på forhånd. Da trenger heller ikke virksomheten treffe ytterligere tiltak før de overfører personopplysningene.
Personvernrådet (EDPB) har utarbeidet en veiledning om hvilke momenter EU-kommisjonen bør vektlegge i sin vurdering av beskyttelsesnivået (ec.europa.eu).
Adekvansbeslutningene nevnt ovenfor gjelder for overføringer omfattet av personvernforordningen. For overføringer omfattet av direktiv (EU) 2016/680 (LED) gjelder adekvansbeslutninger fattet i medhold av artikkel 36 i direktivet. Foreløpig er det bare fattet en slik adekvansbeslutning for Storbritannia.