Overførsel af data til tredjelande

Når personoplysninger sendes ud af EU/EØS, betegnes det som overførsel til tredjelande. Ifølge GDPR må sådan overførsel kun ske, hvis det sikres, at data får tilstrækkelig beskyttelse i modtagerlandet.

Lovlige overførselsgrundlag kan være:

• EU-Kommissionens godkendelse af landet (f.eks. Japan, Schweiz)
• Standardkontraktbestemmelser (SCC’er)
• Binding Corporate Rules (for koncerner)
• Samtykke fra den registrerede (i visse tilfælde)

Efter Schrems II-dommen i 2020 blev kravene til dataoverførsel til bl.a. USA skærpet, og virksomheder skal nu foretage risikovurderinger og evt. indføre supplerende sikkerhedsforanstaltninger.

For virksomheder:
Overførsler til cloududbydere, datalagring og support skal vurderes nøje. Manglende overholdelse kan udløse store bøder.