Databeskyttelsesrådet præciserer reglerne for datadeling med myndigheder i tredjelande og godkender EU's certificering af databeskyttelsesmærkning

3 December 2024

Bruxelles, den 3. december - På sit seneste plenarmøde offentliggjorde Det Europæiske Databeskyttelsesråd (EDPB) retningslinjer for artikel 48 i GDPR om dataoverførsler til myndigheder i tredjelande og godkendte en ny europæisk databeskyttelsesmærkning.

Databeskyttelsesrådet hjælper organisationer med at vurdere anmodninger om dataoverførsel fra myndigheder i tredjelande

I en stærkt sammenkoblet verden modtager organisationer anmodninger fra offentlige myndigheder i andre lande om at dele personoplysninger. Deling af data kan f.eks. være med til at indsamle bevismateriale i tilfælde af kriminalitet, kontrollere finansielle transaktioner eller godkende nye lægemidler.

Når en europæisk organisation modtager en anmodning om overførsel af data fra et "tredjeland" (dvs. ikke-europæisk) myndighed, skal den overholde den generelle forordning om databeskyttelse (GDPR).

Databeskyttelsesrådet zoomer i sine retningslinjer ind på artikel 48 i GDPR og præciserer, hvordan organisationer bedst kan vurdere, på hvilke betingelser de lovligt kan reagere på sådanne anmodninger. På denne måde hjælper retningslinjerne organisationer med at træffe en beslutning om, hvorvidt de lovligt kan overføre personoplysninger til myndigheder i tredjelande, når de bliver bedt om det. 
Domme eller afgørelser fra myndigheder i tredjelande kan ikke automatisk anerkendes eller fuldbyrdes i Europa. Hvis en organisation besvarer en anmodning om personoplysninger fra en myndighed i et tredjeland, udgør denne datastrøm en overførsel, og GDPR finder anvendelse. En international aftale kan indeholde både et retsgrundlag og en grund til overførsel. Hvis der ikke foreligger en international aftale, eller hvis aftalen ikke indeholder et passende retsgrundlag eller passende garantier, kan andre retsgrundlag eller andre grunde til overførsel overvejes under ekstraordinære omstændigheder og fra sag til sag. *
Retningslinjerne er genstand for offentlig høring indtil den 27. januar 2025.

Godkendelse af EU's databeskyttelsesmærkning

På plenarmødet vedtog Databeskyttelsesrådet også en udtalelse om godkendelse af certificeringskriterierne for overholdelse af varemærker vedrørende dataansvarliges eller databehandleres behandlingsaktiviteter. I september 2023 vedtog Databeskyttelsesrådet allerede en udtalelse om godkendelse af de nationale certificeringskriterier for mærkeoverensstemmelse, hvilket gør dem til officielt anerkendte certificeringskriterier i Nederlandene for organisationers databehandling. Godkendelsen af den nye udtalelse betyder, at disse kriterier nu vil finde anvendelse i hele Europa og som en europæisk databeskyttelsesmærkning.

GDPR-certificering hjælper organisationer med at demonstrere deres overholdelse af databeskyttelseslovgivningen. Denne gennemsigtighed hjælper folk med at have tillid til det produkt, den tjeneste, den proces eller det system, som organisationer behandler deres personoplysninger for.

Bemærkning til redaktører:
* Overførslen skal være i overensstemmelse med artikel 6 GDPR og bestemmelserne i kapitel V.
En international aftale kan indeholde både et retsgrundlag i henhold til artikel 6, stk. 1, litra c) eller e), i GDPR og en grund til overførsel i henhold til artikel 46, stk. 2, litra a), i GDPR.
 

Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk.  Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.