Bryssel den 20 oktober – Under sin senaste plenarsession antog Europeiska dataskyddsstyrelsen två yttranden om Europeiska kommissionens utkast till beslut om förlängning av giltigheten för Förenade kungarikets beslut om adekvat skyddsnivå enligt den allmänna dataskyddsförordningen och direktivet om uppgiftsskydd vid brottsbekämpning till ochmed december 2031.*
Dataskyddsstyrelsens yttranden, som begärts av kommissionen i enlighet med artikel 70.1 s i dataskyddsförordningen och artikel 51.1 g i brottsdatadirektivet, behandlar den föreslagna sexåriga förlängningen av de två brittiska besluten om adekvat skyddsnivå som löper ut i december 2025.
Förlängningen av giltighetstiden för Förenade kungarikets beslut om adekvat skyddsnivå kommer att göra det möjligt för organisationer och behöriga myndigheter i Europa att fortsätta att överföra uppgifter till organisationer och myndigheter i Förenade kungariket utan att införa ytterligare garantier.**
”Europeiskadataskyddsstyrelsen välkomnar den fortsatta anpassningen mellan Förenade kungarikets och Europas dataskyddsramar, trots de senaste ändringarna i Förenade kungarikets rättsliga ram.
Jag uppmanar Europeiska kommissionen att ta itu med de punkter som lyfts fram av nämnden och att säkerställa en effektiv övervakning när besluten väl har antagits. Detta kommer att öka tillförlitligheten i Förenade kungarikets tillräcklighet och säkerställa större rättssäkerhet för organisationer och behöriga myndigheter som överför personuppgifter från Europa till Förenade kungariket.”
EDPB:s ordförande, Anu Talus
Om GDPR-yttrandet
Enligt dataskyddsstyrelsen syftar de flesta av de ändringar som införts i Förenade kungarikets dataskyddsram till att klargöra och underlätta efterlevnaden av lagen.
Vissa aspekter av utkastet till beslut skulle kunna förtydligas ytterligare.
EDPB uppmanar Europeiska kommissionen att ytterligare analysera och övervaka ändringarna av Retained EU Law (Revocation and Reform) Act 2023, även kallad Reul Act, särskilt avskaffandet av principen om EU-rättens företräde och avskaffandet av den direkta tillämpningen av EU-rättens principer.
EDPB noterar att ministern har fått nya befogenheter att införa ändringar av den nya dataskyddsramen genom sekundära förordningar som kräver mindre parlamentarisk granskning. Detta gäller internationella överföringar, automatiserat beslutsfattande och styrningen av Information Commissioner’s Office (ICO). Dataskyddsstyrelsen uppmanar kommissionen att ta itu med eventuella risker för avvikelser genom att i det slutliga beslutet om adekvat skyddsnivå lyfta fram de områden som den avser att noggrant övervaka.
EDPB uppmanar också kommissionen att vidareutveckla sin bedömning och övervaka reglerna för överföringar från Förenade kungariket till tredjeländer. Det nya tillräcklighetstestet, som infördes genom Data (Use and Access) Act 2025, kräver att skyddsnivån i tredjelandet inte är väsentligt lägre än den som föreskrivs för registrerade i den brittiska ramen, men detta test hänvisar inte till risken för statlig tillgång, förekomsten av prövning för enskilda personer och behovet av en oberoende tillsynsmyndighet.
Kommissionen bör också ytterligare bedöma och övervaka den brittiska regeringens påstådda användning av tillkännagivanden om teknisk kapacitet som kräver att företag kringgår kryptering, eftersom detta skulle skapa systemsårbarheter och utgöra en risk för den elektroniska kommunikationens integritet och konfidentialitet.
Slutligen uppmanar EDPB kommissionen att ytterligare bedöma och övervaka förändringarna av ICO:s struktur och utövandet av dess korrigerande befogenheter. I detta sammanhang noterar EDPB med tillfredsställelse ICO:s öppenhetspolitik och tillgången till statistiska och analytiska uppgifter om dess tillsynsverksamhet.
De nya besluten om adekvat skyddsnivå kommer att komplettera 2021 års beslut, som kommer att fortsätta att gälla för områden som inte omfattas av utkasten till beslut för 2025. EDPB bygger vidare på sina yttranden från 2021 (14/2021 och 15/2021). I synnerhet fortsätter den nära anpassningen mellan den allmänna dataskyddsförordningen och Förenade kungarikets rättsliga ram för viktiga bestämmelser, som betonades 2021, att gälla i dag (inklusive till exempel transparens, registrerades rättigheter och särskilda kategorier av uppgifter).
Om LED-yttrandet
Dataskyddsstyrelsen välkomnar den kontinuerliga anpassningen mellan dataskyddsramen i Europa och Förenade kungariket och uppmanar kommissionen att komplettera sin bedömning av aspekter som rör nationella säkerhetsundantag. Sådana undantag kan innebära undantag från de flesta dataskyddsprinciper och vissa internationella överföringsregler för brottsbekämpande myndigheter, ochäven begränsa ICO:s verkställighets- och inspektionsbefogenheter.
EDPB uppmanar kommissionen att analysera Förenade kungarikets regler om överföring av personuppgifter till tredjeländer, särskilt det nya tillräcklighetstestet, på samma sätt som i yttrandet om den allmänna dataskyddsförordningen.
Nämnden påpekar också det mer tillåtande tillvägagångssättet för automatiserat beslutsfattande och de nya befogenheter som tilldelats ministern i denna fråga. Det erinrar om vikten av meningsfull mänsklig granskning och uppmanar kommissionen att klargöra och övervaka eventuella undantag från enskilda personers rätt att få mänskligt ingripande.
Slutligen erkänner EDPB att systemet för tillsyn av brottsbekämpande organ och prövningsmekanismerna i stort sett förblir oförändrade, och upprepar att kommissionen noga måste övervaka tillämpningen av korrigerande befogenheter och rättsmedel för enskilda personer i Förenade kungarikets dataskyddsram.
Anmärkning till redaktörer:
* Den 22 juli 2025 utfärdade Europeiska kommissionen två utkast till ändring av genomförandebeslut om adekvat skydd av personuppgifter i Förenade kungariket i enlighet med artikel 45.3 i den allmänna dataskyddsförordningen och artikel 36.3 i brottsdatadirektivet. Dessa utkast till beslut syftar till att förlänga giltigheten för de tidigare beslut om adekvat skyddsnivå som antogs den 28 juni 2021.
I maj 2025 antog kommissionen ett beslut om att förlänga giltighetstiden för Förenade kungarikets beslut om adekvat skyddsnivå med ytterligare sex månader, från juni till december 2025. Dataskyddsstyrelsen antog ett yttrande om denna förlängning i maj 2025.
** Ett beslut om adekvat skyddsnivå är en central mekanism i EU:s dataskyddslagstiftning som gör det möjligt för Europeiska kommissionen att avgöra om ett tredjeland eller en internationell organisation erbjuder en adekvat dataskyddsnivå. Europeiska kommissionen har befogenhet att, på grundval av artikel 45 i förordning (EU) 2016/679, avgöra om ett land utanför EU erbjuder en adekvat dataskyddsnivå.
Antagandet av ett beslut om adekvat skyddsnivå omfattar följande: 1) ett förslag från Europeiska kommissionen, 2) ett yttrande från Europeiska dataskyddsstyrelsen, 3) ett godkännande från företrädare för EU-länderna, 4) Europeiska kommissionens antagande av beslutet.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.