Områder med tilstrekkelig beskyttelsesnivå

Hvis EU-kommisjonen har fattet en slik beslutning, kan man overføre personopplysninger til landet, området eller den internasjonale organisasjonen. Overføringsgrunnlag eller godkjenning fra Datatilsynet er da ikke nødvendig. Overføringen vil være sammenlignbar med overføringer mellom land innenfor EØS.

Følgende stater har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå under personvernforordningen:

Følgende områder og sektorer har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå under personvernforordningen:

Merk at enkelte adekvansbeslutninger kan ha unntak. Vi anbefaler derfor å kikke på informasjonen som EU-kommisjonen selv har publisert.
Se oversikten over beslutningene fra Europakommisjonen (ec.europa.eu).

USA har en adekvansbeslutning som innebærer at hvis en amerikansk virksomhet står på lista over godkjente virksomheter (dataprivacyframework.gov), kan det overføres personopplysninger til den som om det var en europeisk virksomhet.
Se også nyhetssaken vår fra juli 2023 om overføring til USA med tilhørende spørsmål og svar. 

Når det foreligger en beslutning om tilstrekkelig beskyttelsesnivå, trenger ikke virksomheten foreta egne vurderinger om beskyttelsesnivået. EU-kommisjonen har gjort dette på forhånd. Da trenger heller ikke virksomheten treffe ytterligere tiltak før de overfører personopplysningene.

Personvernrådet (EDPB) har utarbeidet en veileder om hvilke momenter EU-kommisjonen bør vektlegge i sin vurdering av beskyttelsesnivået (ec.europa.eu).

Adekvansbeslutningene nevnt ovenfor gjelder for overføringer omfattet av personvernforordningen. For overføringer omfattet av direktiv (EU) 2016/680 (LED) gjelder adekvansbeslutninger fattet i medhold av artikkel 36 i direktivet. Foreløpig er det bare fattet en slik adekvansbeslutning for Storbritannia.