Logo og hjelpeverktøy

Hovedmeny


Overføring av personopplysninger ut av EØS

Innhold

Skriv ut alt innholdet
Sist endret: 16.03.2023

Områder med tilstrekkelig beskyttelsesnivå

EU-kommisjonen kan beslutte at en stat, et territorium, en sektor innad i en stat eller en internasjonal organisasjon har regler som ivaretar personvernet på en tilsvarende måte som land i EØS-området. Disse beslutningene kalles også adekvansbeslutninger.

Overføringer på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå omtales i artikkel 45 i personvernforordningen (lovdata.no)

Hvis EU-kommisjonen har fattet en slik beslutning, kan man overføre personopplysninger til landet, området eller den internasjonale organisasjonen. Overføringsgrunnlag eller godkjenning fra Datatilsynet er da ikke nødvendig. Overføringen vil være sammenlignbar med overføringer mellom land innenfor EØS.

Følgende stater har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå:

Land med tilstrekkelig beskyttelsesnivå_des21.JPG

Følgende områder og sektorer har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå:

Områder og sektorer med tilstrekkelig beskyttelsesnivå_des21.JPG

Se oversikten over beslutningene fra Europakommisjonen (ec.europa.eu)

Når det foreligger en beslutning om tilstrekkelig beskyttelsesnivå, trenger ikke virksomheten foreta egne vurderinger om beskyttelsesnivået. EU-kommisjonen har gjort dette på forhånd. Da trenger heller ikke virksomheten treffe ytterligere tiltak før de overfører personopplysningene.

Personvernrådet (EDPB) har utarbeidet en veileder om hvilke momenter EU-kommisjonen bør vektlegge i sin vurdering av beskyttelsesnivået (ec.europa.eu).

Adekvansbeslutningene nevnt ovenfor gjelder for overføringer omfattet av personvernforordningen. For overføringer omfattet av direktiv (EU) 2016/680 (LED) gjelder adekvansbeslutninger fattet i medhold av artikkel 36 i direktivet. Foreløpig er det bare fattet en slik adekvansbeslutning for Storbritannia.

USA: Privacy Shield-beslutningen er opphevet

Fra 1. juli 2016 har adekvansbeslutningen om Privacy Shield vært gjeldende for overføring til USA. Denne beslutningen omfattet selskaper etablert i USA som hadde sertifisert seg etter Privacy Shield-avtalen. Den 16. juli 2020 besluttet EU-domstolen at Privacy Shield er ugyldig som overføringsgrunnlag, siden mekanismen ikke gir tilstrekkelig beskyttelsesnivå. Adekvansbeslutningen om Privacy Shield ble derfor opphevet, se EU-domstolens avgjørelse C-311/18 (Schrems II).

Dette innebærer at overføring av personopplysninger til USA fra 16. juli 2020 må baseres på andre overføringsgrunnlag i personvernforordningen kapitel V.

Forrige side Neste side

Veileder navigasjon

Innhold
Skriv ut alt innholdet
2. Områder med tilstrekkelig beskyttelsesnivå
Skriv ut alt innholdet