Databeskyttelsesrådet informerer interessenter om databeskyttelsesrammen og vedtager en erklæring i forbindelse med den første revision af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet vedrørende Japan

19 July 2023

Bruxelles, den 19. juli — På Det Europæiske Databeskyttelsesråds seneste plenarmøde vedtog Databeskyttelsesrådet en orienterende note til fysiske personer og enheder, der overfører data til USA. Denne note tager sigte på at oplyse kort og objektivt om følgerne af afgørelsen om tilstrækkelighed for overførsler til USA, de klagemekanismer, der er til rådighed under databeskyttelsesrammen, og den nye klagemekanisme på området for national sikkerhed.

Formanden for Det Europæiske Databeskyttelsesråd, Anu Talus, udtaler: "Europa-Kommissionens vedtagelse af databeskyttelsesrammen efter Databeskyttelsesrådets udtalelse fra februar 2023 er en vigtig beslutning, der anerkender, at personoplysninger nu kan flyde fra Det Europæiske Økonomiske Samarbejdsområde til USA uden yderligere betingelser. Det er afgørende, at enkeltpersoner kender deres rettigheder samt at organisationer kender deres forpligtelser, og Databeskyttelsesrådet gør rede for begge dele i den orienterende note. Databeskyttelsesrådet vil fortsat være særlig opmærksomt på den korrekte gennemførelse af det nye instrument, og vi ser frem til at bidrage til den første revision af databeskyttelsesrammen næste år."

I den orienterende note præciseres det, at overførsler baseret på afgørelser om tilstrækkeligheden af beskyttelsesniveauet skal ikke komplementeres af supplerende foranstaltninger. Overførsler til USA, som ikke er omfattet af "Data Privacy Framework List" (listen over organisationer, der deltager i databeskyttelsesrammen), kræver passende garantier såsom standardbestemmelser om databeskyttelse eller bindende virksomhedsregler. Databeskyttelsesrådet understreger i den forbindelse, at alle garantier, der er indført af USA's regering på området for national sikkerhed (herunder klagemekanismen), gælder for alle data overført til USA, uanset hvilket overførselsværktøj der anvendes.

Derudover præciseres det i den orienterende note, at på området for national sikkerhed kan fysiske personer fra EU indgive en klage til deres nationale databeskyttelsesmyndighed med henblik på at gøre brug af den nye klagemekanisme, uanset hvilket overførselsværktøj der anvendes til at overføre personoplysninger til USA.

På plenarmødet gav repræsentanter for Europa-Kommissionen også en præsentation af databeskyttelsesrammen og ændringerne som følge af Databeskyttelsesrådets udtalelse.

Dernæst vedtog Databeskyttelsesrådet en erklæring om den første revision af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet vedrørende Japan. I erklæringen fokuseres der primært på vurderingen af de kommercielle aspekter af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet vedrørende Japan, eftersom den japanske retlige ramme er blevet ændret på dette område siden vedtagelsen af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet, som har ført til yderligere konvergens med GDPR. Ændringerne omfatter en udvidelse af retten til at gøre indsigelse mod en behandling af personoplysninger, en styrkelse af pligten til at anmelde brud på datasikkerheden til de japanske databeskyttelsesmyndigheder og til fysiske personer samt en udvidelse af anvendelsesområdet for Japans lov om beskyttelse af personoplysninger (APPI), således at personoplysninger, der "skal slettes" inden for seks måneder, ikke længere er undtaget.

Databeskyttelsesrådet mener samtidig, at der er visse områder, som kræver nøjere overvågning fra Europa-Kommissionens side, navnlig i forbindelse med den nye kategori med "pseudonymiserede" personoplysninger, som findes i den japanske lov, og brugen af samtykke i situationer med ubalance i magtfordelingen. Databeskyttelsesrådet glæder sig derfor over Europa-Kommissionens tilsagn om at følge disse spørgsmål nøje.

Overordnet set er Databeskyttelsesrådet enigt i Europa-Kommissionens vurdering af revisionen, og det glæder sig over Kommissionens forslag om at gå over til en revisionscyklus på fire år.

 

Baggrundsoplysninger:

Alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.

The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.