Overføring av personopplysninger ut av EØS

Områder med tilstrekkelig beskyttelsesnivå

EU-kommisjonen kan beslutte at en stat, et territorium, en sektor innad i en stat eller en internasjonal organisasjon har regler som ivaretar personvernet på en tilsvarende måte som land i EØS-området. Disse beslutningene kalles også adekvansbeslutninger.

Hvis EU-kommisjonen har fattet en slik beslutning, kan man overføre personopplysninger til landet, området eller den internasjonale organisasjonen. Overføringsgrunnlag eller godkjenning fra Datatilsynet er da ikke nødvendig. Overføringen vil være sammenlignbar med overføringer mellom land innenfor EØS.

Følgende stater har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå:  

imagesm93.png

Følgende områder og sektorer har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå:

imaged7csb.png

Se oversikten over beslutningene fra Europakommisjonen (ec.europa.eu)

Når det foreligger en beslutning om tilstrekkelig beskyttelsesnivå, trenger ikke virksomheten foreta egne vurderinger om beskyttelsesnivået. EU-kommisjonen har gjort dette på forhånd. Da trenger heller ikke virksomheten treffe ytterligere tiltak før de overfører personopplysningene.

Personvernrådet (EDPB) har utarbeidet en veileder om hvilke momenter EU-kommisjonen bør vektlegge i sin vurdering av beskyttelsesnivået (ec.europa.eu).

USA: Privacy Shield-beslutningen er opphevet

Fra 1. juli 2016 har adekvansbeslutningen om Privacy Shield vært gjeldende for overføring til USA. Denne beslutningen omfattet selskaper etablert i USA som hadde sertifisert seg etter Privacy Shield-avtalen. Den 16. juli 2020 besluttet EU-domstolen at Privacy Shield er ugyldig som overføringsgrunnlag, siden mekanismen ikke gir tilstrekkelig beskyttelsesnivå. Adekvansbeslutningen om Privacy Shield ble derfor opphevet, se EU-domstolens avgjørelse C-311/18 (Schrems II).

Dette innebærer at overføring av personopplysninger til USA fra 16. juli 2020 må baseres på andre overføringsgrunnlag i personvernforordningen kapitel V.