Gränsöverskridande dataöverföringar är fortfarande ett av GDPR:s mest komplexa och omdebatterade områden. Artiklarna 44 till 49 fastställer ramverket: personuppgifter får bara överföras till länder utanför EU/EES om tillräckliga skyddsåtgärder finns på plats. Den praktiska tillämpningen av detta krav har förändrats dramatiskt sedan Schrems II ogiltigförklarade EU-US Privacy Shield i juli 2020.
EU-US Data Privacy Framework (DPF), som antogs i juli 2023, tillhandahåller en ny adekvansgrund för överföringar till certifierade amerikanska organisationer. DPF står dock inför pågående rättsliga utmaningar, och många integritetsexperter ifrågasätter ramverkets långsiktiga hållbarhet. Organisationer som förlitar sig på DPF bör ha beredskapsplaner — inklusive standardavtalsklausuler (SCC) med kompletterande skyddsåtgärder — ifall ramverket ogiltigförklaras.
Standardavtalsklausuler förblir den mest använda överföringsmekanismen. EU-kommissionens uppdaterade SCC (antagna juni 2021) införde en modulär struktur som täcker fyra överföringsscenarier: personuppgiftsansvarig till personuppgiftsansvarig, personuppgiftsansvarig till personuppgiftsbiträde, personuppgiftsbiträde till personuppgiftsbiträde och personuppgiftsbiträde till personuppgiftsansvarig. Organisationer måste genomföra en konsekvensbedömning för överföringen (TIA) för varje överföring, där man utvärderar om mottagarlandets rättsliga ramverk ger ett väsentligen likvärdigt skydd.
För webbplatser handlar den vanligaste överföringsfrågan om tredjepartstjänster. Att ladda Google Analytics, Meta Pixel eller liknande teknik innebär normalt att personuppgifter (IP-adresser, enhetsidentifierare, beteendedata) överförs till USA-baserade servrar. EU-domstolens Schrems II-logik gäller dessa överföringar: om amerikansk övervakningslagstiftning kan tvinga fram åtkomst till uppgifterna kanske standardavtalsklausuler ensamt inte räcker utan ytterligare tekniska skyddsåtgärder som kryptering eller pseudonymisering.
Flera europeiska dataskyddsmyndigheter har vidtagit tillsynsåtgärder specifikt rörande webbplatsrelaterade överföringar. Österrikes DSB och Frankrikes CNIL bedömde båda att Google Analytics-implementeringar var otillåtna enligt Schrems II. Även om DPF har gett tillfällig lättnad bör organisationer utvärdera om serverbaserad analys, EU-baserade proxytjänster eller alternativa leverantörer kan minska deras överföringsrisk.
Vakteyes skanningsmotor upptäcker gränsöverskridande överföringar genom att analysera nätverksförfrågningar, serverplatser och cookiedomänägarskap. Vi identifierar vilka tredjepartstjänster som tar emot personuppgifter, var deras servrar finns och om överföringarna täcks av en adekvat rättslig mekanism. Detta ger organisationer en tydlig inventering av sin överföringsexponering — det nödvändiga första steget mot efterlevnad.
Skärningspunkten mellan AI-tjänster och gränsöverskridande överföringar tillför ny komplexitet. Organisationer som använder molnbaserade AI-API:er (för innehållsgenerering, översättning eller analys) kan överföra personuppgifter till tredjelandsservrar utan att inse det. En överföringsbedömning måste numera inkludera AI-tjänsteleverantörer vid sidan av traditionella analys- och marknadsföringsverktyg.