Överföring på grundval av ett beslut om adekvat skyddsnivå

Personuppgifter får överföras utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet, om kommissionen har meddelat ett beslut om adekvat skyddsnivå (s.k. likvärdighetsbeslut, artikel 45 i dataskyddsförordningen). Kommissionens beslut ges företräde framom andra överföringsgrunder. Beslutet kan gälla ett visst land eller territorium, en viss sektor eller en viss internationell organisation utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet.

Personuppgifter får överföras direkt med utgångspunkt i likvärdighetsbeslutet och inget särskilt tillstånd behövs t.ex. från dataombudsmannen. Även i dessa situationer ska dataskyddslagstiftningen iakttas i sin helhet. Behandlingen av personuppgifter ska vara förenlig med lag före, under och efter överföringen.

Kommissionen granskar besluten på nytt minst vart fjärde år. Beslut om kommissionen har tagit innan dataskyddsförordningen började tillämpas är i regel i kraft även efter att förordningen börjat tillämpas. Kommissionen kan emellertid se över dem på nytt och vid behov meddela nya beslut.

De likvärdighetsbeslut som kommissionen gett hittills gäller följande länder:

Andorra, Argentina, Färöarna, Guernsey, Israel, Isle of Man, Japan, Jersey, Nya Zeeland, Schweiz och Uruguay.

Därtill har kommissionen gett partiella likvärdighetsbeslut som gäller Kanada (kommersiella organisationer) och Förenta staterna (Privacy Shield).

Aktuell lista på likvärdighetsbeslut och annan aktuell information på kommissionens webbplats

Privacy Shield

Personuppgifter kan överföras till Förenta staterna med stöd av Privacy Shield-arrangemanget som varit i bruk sedan 2016. Arrangemanget ger företag i Förenta staterna skyldigheter beträffande skyddet av personuppgifter och tryggar den registrerades rättigheter. Arrangemanget ger de registrerade möjlighet att anföra klagomål om behandlingen av sina personuppgifter.

Tillämpning av arrangemanget som en överföringsmekanism förutsätter att det företag som tar emot personuppgifterna har anmält sig, dvs. certifierat sig som ett Privacy Shield-företag. Certifieringen övervakas av departementen, till exempel handelsdepartementet (U.S. Department of Commerce). För att företag ska kunna gå med i arrangemanget ska deras dataskyddsprinciper vara förenliga med Privacy Shield.

Om du vill överföra uppgifter med stöd av Privacy Shield

  1. Kontrollera om företaget i Förenta staterna ingår i Privacy Shield-förteckningen Kontrollera också at certifieringen är aktiv, eftersom den måste förnyas varje år.
  2. Säkerställ att arrangemanget omfattar de aktuella behandlingsåtgärderna.

Tänk på att du vid överföringen av uppgifterna även ska iaktta dataskyddsförordningen i sin helhet.

Om företaget inte längre är aktiv i arrangemanget kan du inte överföra nya uppgifter till det med stöd av Privacy Shield. Företaget ska emellertid skydda uppgifter som det tagit emot tidigare i enlighet med villkoren för skyddet i Privacy Shield.

Även om personuppgifter inte skulle kunna överföras på basis av Privacy Shield-arrangemanget är det möjligt att tillämpa andra överföringsmekanismer i kapitel V i dataskyddsförordningen.

Mer information om Privacy Shield-arrangemanget på Europeiska kommissionens webbplats