Bruxelles, den 16. juni – Databeskyttelsesrådet vedtog retningslinjer om certificering som et værktøj til overførsler. Ved artikel 46, stk. 2, litra f), i den generelle forordning om databeskyttelse (GDPR) indføres godkendte certificeringsmekanismer som et nyt værktøj til overførsel af personoplysninger til tredjelande i mangel af en aftale om tilstrækkeligheden af beskyttelsesniveauet. Det primære formål med disse retningslinjer er yderligere at præcisere, hvordan dette overførselsværktøj anvendes i praksis.
Næstformand for Databeskyttelsesrådet, Ventsislav Karadjov, udtaler: "Disse retningslinjer er banebrydende, da de udgør den allerførste praktiske vejledning om certificering som et værktøj til overførsler – et nyt overførselsværktøj, der blev indført ved GDPR. Retningslinjerne giver vejledning om, hvordan dette værktøj kan anvendes i praksis, og hvordan det kan bidrage til at opretholde et højt databeskyttelsesniveau ved overførsel af personoplysninger fra Det Europæiske Økonomiske Samarbejdsområde til tredjelande."
Retningslinjerne består af fire dele, der hver især fokuserer på særlige aspekter vedrørende certificering som et værktøj til overførsler, f.eks. formål, anvendelsesområde og de forskellige involverede aktører, gennemførelsesvejledning om akkrediteringskrav for certificeringsorganer, særlige certificeringskriterier til påvisning af, at der findes passende garantier for overførsler, og bindende forpligtelser, der skal gennemføres, og som kan håndhæves. Retningslinjerne supplerer retningslinjer 1/2018 vedrørende certificering, som omfatter mere generel vejledning om certificering. Retningslinjerne sendes til offentlig høring indtil udgangen af september.
Databeskyttelsesrådet vedtog en afgørelse om tvistbilæggelse i henhold til artikel 65 i GDPR. Formålet med den bindende afgørelse er at afhjælpe den manglende enighed om visse aspekter af et udkast til afgørelse, som den franske tilsynsmyndighed som ledende tilsynsmyndighed har udstedt vedrørende Accor SA, et selskab inden for hotel- og restaurationsbranchen med hovedsæde i Frankrig, og de efterfølgende indsigelser fra en af de berørte tilsynsmyndigheder.
Den ledende tilsynsmyndighed udstedte udkastet til afgørelse efter en klagebaseret undersøgelse af Accor SA vedrørende manglende hensyntagen til retten til at gøre indsigelse mod modtagelsen af markedsføringsmeddelelser pr. post og/eller vanskeligheder i forbindelse med udøvelsen af retten til aktindsigt. Den 30. april 2021 delte den ledende tilsynsmyndighed sit udkast til afgørelse med de berørte tilsynsmyndigheder i overensstemmelse med artikel 60, stk. 3, i GDPR. Én berørt tilsynsmyndighed gjorde indsigelse i henhold til artikel 60, stk. 4, i GDPR vedrørende bl.a. bødens størrelse.
Tilsynsmyndighederne var ikke i stand til at nå til enighed om en af indsigelserne, som den ledende tilsynsmyndighed derefter henviste til Databeskyttelsesrådet med henblik på en afgørelse i henhold til artikel 65, stk. 1, litra a), i GDPR, hvorved tvistbilæggelsesproceduren blev indledt.
Databeskyttelsesrådet har nu vedtaget sin bindende afgørelse. Afgørelsen omhandler berettigelsen af den del af indsigelsen, der anses for at være "relevant og begrundet" i overensstemmelse med kravene i artikel 4, nr. 24), i GDPR.
Afgørelsen vil nu hurtigst muligt blive oversat i henhold til artikel 11, stk. 6, i Databeskyttelsesrådets forretningsorden. Dernæst vil de berørte tilsynsmyndigheder formelt blive underrettet. Den ledende tilsynsmyndighed vedtager sin endelige afgørelse, der er rettet til den dataansvarlige, på grundlag af Databeskyttelsesrådets afgørelse uden unødigt ophold og senest en måned efter, at Databeskyttelsesrådet har meddelt sin afgørelse. Databeskyttelsesrådet offentliggør hurtigst muligt sin afgørelse på sit websted, efter at den ledende tilsynsmyndighed har meddelt den dataansvarlige sin nationale afgørelse.
Baggrundsoplysninger:
Retningslinjerne er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.
Den bindende afgørelse i henhold til artikel 65 vil blive offentliggjort, efter at den ledende tilsynsmyndighed har meddelt sin endelige afgørelse til den dataansvarlige. Yderligere oplysninger om artikel 65-proceduren findes i FAQ
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.