Bryssel den 3 december - Under sin senaste plenarsession offentliggjorde Europeiska dataskyddsstyrelsen (EDPB) riktlinjer om artikel 48 i den allmänna dataskyddsförordningen om dataöverföringar till myndigheter i tredjeländer och godkände ett nytt europeiskt sigill för dataskydd.
EDPB hjälper organisationer att bedöma begäranden om överföring av uppgifter från myndigheter i tredjeländer
I en starkt sammankopplad värld får organisationer förfrågningar från myndigheter i andra länder om att dela personuppgifter. Utbyte av uppgifter kan till exempel vara till hjälp för att samla in bevis i händelse av brott, för att kontrollera finansiella transaktioner eller godkänna nya läkemedel.
När en europeisk organisation tar emot en begäran om överföring av uppgifter från en myndighet i ett ”tredjeland” (dvs. en myndighet utanför EU) måste den följa den allmänna dataskyddsförordningen (GDPR).
I sina riktlinjer fokuserar EDPB på artikel 48 i den allmänna dataskyddsförordningen och klargör hur organisationer bäst kan bedöma under vilka förhållanden de lagligen kan besvara sådana begäranden. På så sätt hjälper riktlinjerna organisationer att fatta beslut om huruvida de lagligen kan överföra personuppgifter till myndigheter i tredjeländer när de uppmanas att göra det.
Domar eller beslut från myndigheter i tredjeländer kan inte automatiskt erkännas eller verkställas i Europa. Om en organisation svarar på en begäran om personuppgifter från en myndighet i ett tredjeland utgör detta dataflöde en överföring och GDPR gäller. Ett internationellt avtal kan innehålla både en rättslig grund och en grund för överföring. Om det inte finns något internationellt avtal, eller om avtalet inte föreskriver en lämplig rättslig grund eller skyddsåtgärder, kan andra rättsliga grunder eller andra grunder för överföring övervägas, under exceptionella omständigheter och från fall till fall. *
Riktlinjerna är föremål för offentligt samråd till och med den 27 januari 2025.
Godkännande av EU:s uppgiftsskyddsförsegling
Under plenarmötet antog styrelsen också ett yttrande om godkännande av certifieringskriterierna för varumärkesefterlevnad avseende personuppgiftsansvarigas eller personuppgiftsbiträdens behandlingsverksamhet. I september 2023 antog nämnden redan ett yttrande om godkännandet av de nationella certifieringskriterierna för varumärkesefterlevnad, vilket gjorde dem officiellt erkända certifieringskriterier i Nederländerna för organisationers databehandling. Godkännandet av det nya yttrandet innebär att dessa kriterier nu kommer att tillämpas i hela Europa och som ett europeiskt sigill för dataskydd.
GDPR-certifiering hjälper organisationer att visa att de följer dataskyddslagstiftningen. Denna öppenhet hjälper människor att lita på den produkt, tjänst, process eller det system som organisationer behandlar sina personuppgifter för.
Meddelande till redaktörer:
* Överföringen måste följa artikel 6 GDPR och bestämmelserna i kapitel V.
Ett internationellt avtal kan innehålla både en rättslig grund enligt artikel 6.1 c eller 6.1 e i dataskyddsförordningen och en grund för överföring enligt artikel 46.2 a i dataskyddsförordningen.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.