Europeiska dataskyddsstyrelsen (EDPB) har publicerat nya riktlinjer för att klargöra vad som utgör en internationell överföring av personuppgifter enligt GDPR, vilka är öppna för konsultation fram till januari 2022. Riktlinjerna fastställer tre kriterier för att en databehandling ska klassas som en internationell överföring: exportören omfattas av GDPR, exportören överför eller gör uppgifter tillgängliga för en importör, och importören befinner sig i ett tredjeland eller är en internationell organisation. EDPB förtydligar att definitionen av internationell överföring är bred och inkluderar både aktiv överföring och att göra uppgifter tillgängliga för åtkomst från ett tredjeland. Exempel visar att intern dataåtkomst under tjänsteresa till tredjeland inte är en överföring, medan datadelning mellan separata bolag i samma koncern kan vara det. En konsuments direkta köp från en butik utanför EU är inte heller en överföring i GDPR:s mening, även om artikel 3.2 kan gälla. EDPB betonar vikten av att anpassa skyddsåtgärderna till situationen, där överföringsverktyg bör fokusera på att fylla luckor relaterade till kolliderande nationella lagar och myndigheters åtkomsträtt i tredjeländer, snarare än att upprepa GDPR-skyldigheter.