Överföring på grundval av ett beslut om adekvat skyddsnivå
Personuppgifter får överföras utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet, om kommissionen har meddelat ett beslut om adekvat skyddsnivå (s.k. likvärdighetsbeslut, artikel 45 i dataskyddsförordningen). Kommissionens beslut ges företräde framom andra överföringsgrunder. Beslutet kan gälla ett visst land eller territorium, en viss sektor eller en viss internationell organisation utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet.
Personuppgifter får överföras direkt med utgångspunkt i likvärdighetsbeslutet och inget särskilt tillstånd behövs t.ex. från dataombudsmannen. Även i dessa situationer ska dataskyddslagstiftningen iakttas i sin helhet. Behandlingen av personuppgifter ska vara förenlig med lag före, under och efter överföringen.
Kommissionen granskar besluten på nytt minst vart fjärde år. Beslut om kommissionen har tagit innan dataskyddsförordningen började tillämpas är i regel i kraft även efter att förordningen börjat tillämpas. Kommissionen kan emellertid se över dem på nytt och vid behov meddela nya beslut.
De likvärdighetsbeslut som kommissionen gett hittills gäller följande länder (länkarna leder till EUR-Lex webbtjänsten):
Andorra, Argentina, Färöarna, Guernsey, Israel, Isle of Man, Japan, Jersey, Nya Zeeland, Schweiz, Storbritannien, Sydkorea och Uruguay.
Därtill har kommissionen gett ett partiellt likvärdighetsbeslut som gäller Kanada (kommersiella organisationer).
Aktuell lista på likvärdighetsbeslut och annan aktuell information på kommissionens webbplats
Likvärdighetsbesluten med stöd av den allmänna dataskyddsförordningen tillämpas inte på överföring av uppgifter inom dataskyddsdirektivets tillämpningsområde, och likvärdighetsbeslut med stöd av dataskyddsdirektivet har ännu inte meddelats, med undantag för Storbritannien. Vid överföringar till tredjeland ska andra överföringsinstrument i dataskyddslagen för brottmål användas.
Ramverket för dataskydd mellan EU och USA
Europeiska kommissionens beslut om adekvat skyddsnivå för USA trädde i kraft den 10 juli. På basis av adekvansbeslutet kan personuppgifter överföras från EU-/EES-området till deltagande amerikanska företag utan separata skyddsåtgärder.
Med stöd av adekvansbeslutet kan personuppgifter överföras till certifierade företag i USA, som har förbundit sig till de skyddsåtgärder som avtalats i ramverket för dataskydd. Adekvansbeslutet kan inte användas för dataöverföring mellan aktörer inom den offentliga sektorn.
Med ramverket (”EU-U.S. Data Privacy Framework”) för dataskydd ersätts det Privacy Shield-arrangemang, som EU-domstolen ogiltigförklarade i sin Schrems II-dom (C-311/18) sommaren 2020. Domstolen ogiltigförklarade avgörandet om huruvida adekvat skyddsnivå kan säkerställas genom Privacy Shield, eftersom ingrepp i de grundläggande rättigheterna inte har begränsats vid överföring av personuppgifter till USA på ett sätt som väsentligen skulle uppfylla EU:s krav.
EU-kommissionen och USA uppnådde i mars 2022 samförstånd om att skapa ett nytt ramverk för dataskydd mellan EU och USA. Principbeslutet om ramverket för dataskydd verkställdes i USA:s lagstiftning genom en presidentorder och en kompletterande förordning om besvärsdomstolen.
Europeiska dataskyddsstyrelsen gav sitt utlåtande om kommissionens utkast i februari 2023.
Beslutet om adekvat skyddsnivå för USA (på kommissionens webbplats på engelska)