Överföring på grundval av ett beslut om adekvat skyddsnivå

Personuppgifter får överföras utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet, om kommissionen har meddelat ett beslut om adekvat skyddsnivå (s.k. likvärdighetsbeslut, artikel 45 i dataskyddsförordningen). Kommissionens beslut ges företräde framom andra överföringsgrunder. Beslutet kan gälla ett visst land eller territorium, en viss sektor eller en viss internationell organisation utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet.

Personuppgifter får överföras direkt med utgångspunkt i likvärdighetsbeslutet och inget särskilt tillstånd behövs t.ex. från dataombudsmannen. Även i dessa situationer ska dataskyddslagstiftningen iakttas i sin helhet. Behandlingen av personuppgifter ska vara förenlig med lag före, under och efter överföringen.

Kommissionen granskar besluten på nytt minst vart fjärde år. Beslut om kommissionen har tagit innan dataskyddsförordningen började tillämpas är i regel i kraft även efter att förordningen börjat tillämpas. Kommissionen kan emellertid se över dem på nytt och vid behov meddela nya beslut.

De likvärdighetsbeslut som kommissionen gett hittills gäller följande länder (länkarna leder till EUR-Lex webbtjänsten):
Andorra, Argentina, Färöarna, Guernsey, Israel, Isle of Man, Japan, Jersey, Nya Zeeland, Schweiz, Storbritannien och Uruguay.

Därtill har kommissionen gett ett partiellt likvärdighetsbeslut som gäller Kanada (kommersiella organisationer).

Aktuell lista på likvärdighetsbeslut och annan aktuell information på kommissionens webbplats

Likvärdighetsbesluten med stöd av den allmänna dataskyddsförordningen tillämpas inte på överföring av uppgifter inom dataskyddsdirektivets tillämpningsområde, och likvärdighetsbeslut med stöd av dataskyddsdirektivet har ännu inte meddelats, med undantag för Storbritannien. Vid överföringar till tredjeland ska andra överföringsinstrument i dataskyddslagen för brottmål användas.

Ramverket för dataskydd mellan EU och USA

EU-domstolen hävde beslutet om Privacy Shield-dataskyddet som otillräckligt i det så kallade Schrems II-fallet (C-311/18) i juli 2020.

Domstolen ogiltigförklarade avgörandet om huruvida adekvat skyddsnivå kan säkerställas genom Privacy Shield, eftersom ingrepp i de grundläggande rättigheterna inte har begränsats vid överföring av personuppgifter till USA på ett sätt som väsentligen skulle uppfylla EU:s krav. EDPB satt ihop svar till vanliga frågor om Schrems II -domen på engelska på EDPBs webbplats.

EU-kommissionen och USA uppnådde i mars 2022 samförstånd om att skapa ett nytt ramverk för dataskydd mellan EU och USA. Det nya ramverket för dataskydd (”EU-U.S. Data Privacy Framework”) ska ersätta Privacy Shield som ogiltigförklarats med Schrems II-domen. Principbeslutet om ramverket för dataskydd verkställdes i USA:s lagstiftning genom en presidentorder och en kompletterande förordning om besvärsdomstolen.

EU-kommissionen har upprättat ett utkast till beslut om adekvat dataskyddsnivå i USA, och Europeiska dataskyddsstyrelsen gav sitt utlåtande om utkastet i februari 2023. På basis av adekvansbeslutet kan uppgifter inte ännu överföras, utan beslutet ska genomgå ett förfarande för godkännande innan det träder i kraft. Dataombudsmannens byrå kommer att informera om ärendets framskridande.

På basis av adekvansbeslutet kunde uppgifter överföras från EU-/EES-området till deltagande amerikanska företag utan separata skyddsåtgärder. Adekvansbeslutet skulle inte gälla alla överföringar av personuppgifter till USA, utan uppgifter kunde överföras endast till amerikanska företag som har förbundit sig till de överenskomna skyddsåtgärderna. Adekvansbeslutet skulle inte heller kunna användas som ett verktyg för överföring av personuppgifter mellan aktörerna i den offentliga sektorn.

Europeiska dataskyddsstyrelsens yttrande om utkastet till ett beslut om adekvat dataskydd i USA (på engelska på dataskyddsstyrelsens webbplats)

EU-kommissionens utkast till ett beslut om adekvat dataskydd i USA (på engelska på commissionens webbplats)