Områder med tilstrekkelig beskyttelsesnivå
EU-kommisjonen kan beslutte at en stat, et territorium, en sektor innad i en stat eller en internasjonal organisasjon har regler som ivaretar personvernet på en tilsvarende måte som land i EØS-området. Disse beslutningene kalles også adekvansbeslutninger.
Overføringer på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå omtales i artikkel 45 i personvernforordningen (lovdata.no).
Hvis EU-kommisjonen har fattet en slik beslutning, kan man overføre personopplysninger til landet, området eller den internasjonale organisasjonen. Overføringsgrunnlag eller godkjenning fra Datatilsynet er da ikke nødvendig. Overføringen vil være sammenlignbar med overføringer mellom land innenfor EØS.
Følgende stater har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå:
Følgende områder og sektorer har per nå fått en beslutning om tilstrekkelig beskyttelsesnivå:
Se oversikten over beslutningene fra Europakommisjonen (ec.europa.eu).
Når det foreligger en beslutning om tilstrekkelig beskyttelsesnivå, trenger ikke virksomheten foreta egne vurderinger om beskyttelsesnivået. EU-kommisjonen har gjort dette på forhånd. Da trenger heller ikke virksomheten treffe ytterligere tiltak før de overfører personopplysningene.
Personvernrådet (EDPB) har utarbeidet en veileder om hvilke momenter EU-kommisjonen bør vektlegge i sin vurdering av beskyttelsesnivået (ec.europa.eu).
Adekvansbeslutningene nevnt ovenfor gjelder for overføringer omfattet av personvernforordningen. For overføringer omfattet av direktiv (EU) 2016/680 (LED) gjelder adekvansbeslutninger fattet i medhold av artikkel 36 i direktivet. Foreløpig er det bare fattet en slik adekvansbeslutning for Storbritannia.
USA: Privacy Shield-beslutningen er opphevet
Fra 1. juli 2016 har adekvansbeslutningen om Privacy Shield vært gjeldende for overføring til USA. Denne beslutningen omfattet selskaper etablert i USA som hadde sertifisert seg etter Privacy Shield-avtalen. Den 16. juli 2020 besluttet EU-domstolen at Privacy Shield er ugyldig som overføringsgrunnlag, siden mekanismen ikke gir tilstrekkelig beskyttelsesnivå. Adekvansbeslutningen om Privacy Shield ble derfor opphevet, se EU-domstolens avgjørelse C-311/18 (Schrems II).
Dette innebærer at overføring av personopplysninger til USA fra 16. juli 2020 må baseres på andre overføringsgrunnlag i personvernforordningen kapitel V.