Brussel, 3 december - Tijdens zijn laatste plenaire vergadering heeft het Europees Comité voor gegevensbescherming (EDPB) richtsnoeren gepubliceerd over artikel 48 van de AVG over gegevensdoorgiften aan autoriteiten van derde landen en een nieuw Europees gegevensbeschermingszegel goedgekeurd.
EDPB helpt organisaties verzoeken van autoriteiten van derde landen om gegevensdoorgifte te beoordelen
In een sterk onderling verbonden wereld ontvangen organisaties verzoeken van overheidsinstanties in andere landen om persoonsgegevens te delen. Het delen van gegevens kan bijvoorbeeld helpen bij het verzamelen van bewijsmateriaal in het geval van criminaliteit, het controleren van financiële transacties of het goedkeuren van nieuwe medicijnen.
Wanneer een Europese organisatie een verzoek tot doorgifte van gegevens ontvangt van een “derde land” (d.w.z. een niet-Europese) autoriteit, moet zij voldoen aan de algemene verordening gegevensbescherming (AVG).
In zijn richtsnoeren zoomt het EDPB in op artikel 48 AVG en verduidelijkt het hoe organisaties het best kunnen beoordelen onder welke voorwaarden zij rechtmatig op dergelijke verzoeken kunnen reageren. Op deze manier helpen de richtsnoeren organisaties om een beslissing te nemen over de vraag of zij rechtmatig persoonsgegevens mogen doorgeven aan autoriteiten van derde landen wanneer zij daarom worden gevraagd.
Beslissingen of beslissingen van autoriteiten van derde landen kunnen in Europa niet automatisch worden erkend of ten uitvoer gelegd. Als een organisatie antwoordt op een verzoek om persoonsgegevens van een autoriteit van een derde land, vormt deze gegevensstroom een doorgifte en is de AVG van toepassing. Een internationale overeenkomst kan zowel in een rechtsgrondslag als in een grond voor overdracht voorzien. Indien er geen internationale overeenkomst is, of indien de overeenkomst niet voorziet in een passende rechtsgrondslag of waarborgen, kunnen in uitzonderlijke omstandigheden en per geval andere rechtsgrondslagen of andere gronden voor doorgifte worden overwogen. *
De richtsnoeren zijn onderworpen aan een openbare raadpleging tot en met 27 januari 2025.
Goedkeuring van het EU-gegevensbeschermingszegel
Tijdens de plenaire vergadering heeft het bestuur ook een advies goedgekeurd waarin de Brand Compliance-certificeringscriteria met betrekking tot verwerkingsactiviteiten door verwerkingsverantwoordelijken of verwerkers worden goedgekeurd. In september 2023 heeft het bestuur al een advies uitgebracht over de goedkeuring van de nationale certificeringscriteria van Brand Compliance, waardoor deze in Nederland officieel zijn erkend als certificeringscriteria voor gegevensverwerking door organisaties. De goedkeuring van het nieuwe advies betekent dat deze criteria nu van toepassing zullen zijn in heel Europa en als een Europees gegevensbeschermingszegel.
GDPR-certificering helpt organisaties om aan te tonen dat ze voldoen aan de wetgeving inzake gegevensbescherming. Deze transparantie helpt mensen te vertrouwen op het product, de dienst, het proces of het systeem waarvoor organisaties hun persoonsgegevens verwerken.
Opmerking voor redacteuren:
* De overdracht moet voldoen aan artikel 6 AVG en de bepalingen van hoofdstuk V.
Een internationale overeenkomst kan zowel voorzien in een rechtsgrondslag op grond van artikel 6, lid 1, onder c) of e), AVG als in een grond voor doorgifte op grond van artikel 46, lid 2, onder a), AVG.
Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald. De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.