Gjelder det en risikobasert tilnærming til reglene i GDPR ved overføring av personopplysninger til tredjestater? Om innholdet i kravet til supplerende beskyttelsestiltak i lys av Schrems II-dommen

Abstract

Om kravene til supplerende beskyttelsestiltak ved overføring av personopplysninger til land utenfor EU/EØS, i lys av EU-domstolens avgjørelse i Schrems II-saken. Nærmere bestemt er spørsmålet om bedrifter skal ha en risikobasert tilnærming til vurderingen av hvilke beskyttelsestiltak som må kreves for å oppnå et tilstrekkelig beskyttelsesnivå, herunder om det i denne vurderingen er relevant å ta hensyn til sannsynligheten for at mottakerstatens overvåkningsmyndigheter vil kreve innsyn i de aktuelle personopplysningene. I denne sammenheng analyseres ansvarsprinsippet i GDPR, samt GDPR sin funksjon og utforming som en såkalt meta-regulering.