Bruxelles, den 6. maj – Det Europæiske Databeskyttelsesråd vedtog på sit seneste plenarmøde en udtalelse om Europa-Kommissionens udkast til afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til GDPR vedrørende Den Europæiske Patentorganisation (EPO). Databeskyttelsesrådet vedtog desuden en udtalelse om Europa-Kommissionens forslag om at forlænge gyldigheden af Det Forenede Kongeriges afgørelser om tilstrækkeligheden af beskyttelsesniveauet i henhold til GDPR og retshåndhævelsesdirektivet. Endelig indvilligede Databeskyttelsesrådet i at give Bosnien-Hercegovinas agentur for beskyttelse af personoplysninger observatørstatus.
EPO's passende beskyttelse af personoplysninger
Efter anmodning fra Europa-Kommissionen vedtog Databeskyttelsesrådet en udtalelse om Kommissionens udkast til afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedrørende Den Europæiske Patentorganisation (EPO). Når dette formelt er vedtaget af Kommissionen, vil det være den første afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedrørende en internationalorganisation og ikke et land eller en region.
En afgørelse om tilstrækkeligheden af beskyttelsesniveauet er en central mekanisme i EU's databeskyttelseslovgivning, som giver Europa-Kommissionen mulighed for at afgøre, om et tredjeland eller en international organisation tilbyder et tilstrækkeligt databeskyttelsesniveau. Virkningen af en sådan beslutning er, at personoplysninger kan flyde frit fra Europa til det pågældende tredjeland eller den pågældende internationale organisation.
Formanden for Databeskyttelsesrådet, Anu Talus, udtaler: "Databeskyttelsesrådetglæder sig over Kommissionens initiativ til at arbejde på den første afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedrørende en international organisation. Denne afgørelse viser, hvordan den retlige ramme for sådanne organisationer kan anerkendes som en sikring af et tilstrækkeligt beskyttelsesniveau på grundlag af artikel 45 i GDPR.
Databeskyttelsesrådet understreger betydningen af en løbende dialog mellem Kommissionen og internationale organisationer med henblik på at udvikle denne kategori af afgørelser om tilstrækkeligheden af beskyttelsesniveauet ud over dem, der vedrører tredjelande."
Databeskyttelsesrådet noterer sig i sin udtalelse med tilfredshed, at EPO's databeskyttelsesramme i vid udstrækning er i overensstemmelse med Den Europæiske Unions databeskyttelsesramme, herunder om databeskyttelsesrettigheder og -principper.
Dette viser, at databeskyttelsesforordningen og navnlig dens overførselsbestemmelser kan lette sikre datastrømme fra Europa til internationale organisationer, samtidig med at der tages hensyn til deres status.
Seks måneders forlængelse af Det Forenede Kongeriges afgørelser om tilstrækkeligheden af beskyttelsesniveauet
Databeskyttelsesrådets udtalelse, som Europa-Kommissionen har anmodet om, omhandler den foreslåede forlængelse af de to afgørelser om tilstrækkeligheden af beskyttelsesniveauet i Det Forenede Kongerige i henhold til GDPR og retshåndhævelsesdirektivet, som udløber den 27. juni2025.
Udtalelsen vedrører kun den foreslåede forlængelse på seks måneder af disse afgørelser om tilstrækkeligheden af beskyttelsesniveauet og omhandler ikke beskyttelsesniveauet for personoplysninger i Det Forenede Kongerige, som vil blive undersøgt af Databeskyttelsesrådet efter Kommissionens vurdering, og hvis fornyelsen af Det Forenede Kongeriges afgørelser om tilstrækkeligheden af beskyttelsesniveauet foreslås.
Eftersom Det Forenede Kongeriges databeskyttelsesreform stadig er under behandling i Det Forenede Kongeriges parlament, anerkender Databeskyttelsesrådet behovet for en teknisk og tidsbegrænset forlængelse af afgørelserne om tilstrækkeligheden af beskyttelsesniveauet indtil den 27. december 2025. Dette vil give Europa-Kommissionen tilstrækkelig tid til at evaluere Det Forenede Kongeriges ajourførte retlige ramme, når den er blevet vedtaget.
Databeskyttelsesrådet understreger, at denne forlængelse er ekstraordinær og skyldes den igangværende lovgivningsmæssige udvikling i Det Forenede Kongerige. Den bør i princippet ikke forlænges yderligere.
Databeskyttelsesrådet minder om gyldigheden af sine udtalelser 14/2021 og 15/2021 om Det Forenede Kongeriges to afgørelser om tilstrækkeligheden af beskyttelsesniveauet, der blev vedtaget i april 2021, og opfordrer Europa-Kommissionen til at tage hensyn til dem i sine fremtidige vurderinger.
Databeskyttelsesrådet minder også om Kommissionens forpligtelse til at overvåge alle relevante udviklinger i Det Forenede Kongerige i forlængelsesperioden.
Ny observatør i Databeskyttelsesrådets aktiviteter
Endelig blev Databeskyttelsesrådets medlemmer enige om at give Bosnien-Hercegovinas databeskyttelsesmyndighed observatørstatus i forbindelse med Databeskyttelsesrådets aktiviteter i overensstemmelse med artikel 8 Databeskyttelsesrådets forretningsorden.
Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk. Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.