Når personoplysninger sendes ud af EU/EØS, betegnes det som overførsel til tredjelande. Ifølge GDPR må sådan overførsel kun ske, hvis det sikres, at data får tilstrækkelig beskyttelse i modtagerlandet.
Lovlige overførselsgrundlag kan være:
- EU-Kommissionens godkendelse af landet (f.eks. Japan, Schweiz)
- Standardkontraktbestemmelser (SCC’er)
- Binding Corporate Rules (for koncerner)
- Samtykke fra den registrerede (i visse tilfælde)
Efter Schrems II-dommen i 2020 blev kravene til dataoverførsel til bl.a. USA skærpet, og virksomheder skal nu foretage risikovurderinger og evt. indføre supplerende sikkerhedsforanstaltninger.
For virksomheder:
Overførsler til cloududbydere, datalagring og support skal vurderes nøje. Manglende overholdelse kan udløse store bøder.
