Datatilsynet har publicerat frågor och svar om EU-domstolens beslut i mål C-311/18 (“Schrems II-målet”).
Datatilsynet ger bland annat rekommendationer för vad som gäller vid överföring av personuppgifter till USA och andra tredjeländer, vilka skyldigheter mottagare av personuppgifter har samt de undantag som finns från reglerna för tredjelandsöverföringar.
Datatilsynet framhåller särskilt att Schrems II-fallet är direkt tillämpligt, utan övergångsperiod, vilket innebär att det inte är möjligt att använda Privacy Shield-ramverket som överföringsgrund och att personuppgiftsansvariga som redan överför uppgifter till icke-godkända tredjeländer antingen måste upphöra med överföringen av sådana uppgifter och samtidigt kräva att mottagaren lämnar tillbaka eller raderar de uppgifter som redan överförts, eller vidtar lämpliga skyddsåtgärder för att säkerställa att överföringen sker i enlighet med dataskyddsförordningen (“GDPR”).
I fall där ett land inte kan erbjuda adekvat skyddsnivå för överföringen av personuppgifter, måste personuppgiftsansvariga enligt Datatilsynet, lita på artikel 46 i GDPR och kontrollera om det aktuella tredjelandet har åtkomst till personuppgifterna på ett sätt som går utöver vad som är tillåtet enligt europeisk dataskyddslagstiftning.