Bruxelles, den 20. oktober – På sit seneste plenarmøde vedtog Databeskyttelsesrådet to udtalelser om Europa-Kommissionens udkast til afgørelser om forlængelse af gyldigheden af Det Forenede Kongeriges afgørelser om tilstrækkeligheden af beskyttelsesniveauet i henhold til den generelle forordning om databeskyttelse (GDPR) og retshåndhævelsesdirektivet indtil december 2031*.
Databeskyttelsesrådets udtalelser, som Kommissionen har anmodet om i henhold til artikel 70, stk. 1, litra s), i GDPR og artikel 51, stk. 1, litra g), i retshåndhævelsesdirektivet, omhandler den foreslåede seksårige forlængelse af de to afgørelser om tilstrækkeligheden af beskyttelsesniveauet i Det Forenede Kongerige, som udløber i december 2025.
Forlængelsen af gyldigheden af Det Forenede Kongeriges afgørelser om tilstrækkeligheden af beskyttelsesniveauet vil gøre det muligt for organisationer og kompetente myndigheder i Europa fortsat at overføre data til organisationer og myndigheder i Det Forenede Kongerige uden at gennemføre yderligere garantier**.
"Databeskyttelsesrådetglæder sig over den fortsatte tilpasning mellem Det Forenede Kongeriges og Europas databeskyttelsesramme på trods af de seneste ændringer i Det Forenede Kongeriges retlige ramme.
Jeg opfordrer Kommissionen til at tage fat på de punkter, som udvalget har fremhævet, og til at sikre en effektiv overvågning, når beslutningerne er vedtaget. Dette vil øge robustheden af Det Forenede Kongeriges tilstrækkelighed og sikre større retssikkerhed for organisationer og kompetente myndigheder, der overfører personoplysninger fra Europa til Det Forenede Kongerige."
Formanden for Databeskyttelsesrådet, Anu Talus
Om udtalelsen om den generelle forordning om databeskyttelse
Ifølge Databeskyttelsesrådet har de fleste af de ændringer, der er indført i Det Forenede Kongeriges databeskyttelsesramme, til formål at præcisere og lette overholdelsen af loven.
Visse aspekter af udkastet til afgørelse kunne præciseres yderligere.
Databeskyttelsesrådet opfordrer Europa-Kommissionen til yderligere at analysere og overvåge ændringerne af Retained EU Law (Revocation and Reform) Act 2023, også kendt som REUL-loven, navnlig fjernelsen af princippet om EU-rettens forrang og fjernelsen af den direkte anvendelse af principperne i EU-retten.
Databeskyttelsesrådet bemærker, at statssekretæren har fået nye beføjelser til at indføre ændringer af den nye databeskyttelsesramme via sekundære bestemmelser, som kræver mindre parlamentarisk kontrol. Dette er tilfældet for internationale overførsler, automatiseret beslutningstagning og forvaltningen af informationskommissærens kontor (ICO). Databeskyttelsesrådet opfordrer Kommissionen til at imødegå eventuelle risici for divergens ved i den endelige afgørelse om tilstrækkeligheden af beskyttelsesniveauet at fremhæve de områder, som de agter at overvåge nøje.
Databeskyttelsesrådet opfordrer også Kommissionen til yderligere at uddybe sin vurdering og overvåge reglerne om overførsler fra Det Forenede Kongerige til tredjelande. Den nye tilstrækkelighedstest, der blev indført ved Data (Use and Access) Act 2025, kræver, at beskyttelsesniveauet i tredjelandet ikke er væsentligt lavere end det, der er fastsat for registrerede i Det Forenede Kongeriges ramme, men denne test henviser ikke til risikoen for statslig adgang, eksistensen af klageadgang for enkeltpersoner og behovet for en uafhængig tilsynsmyndighed.
Kommissionen bør også yderligere vurdere og overvåge den britiske regerings påståede anvendelse af tekniske kapacitetsmeddelelser, der kræver, at virksomheder omgår kryptering, da dette vil skabe systemiske sårbarheder og udgøre en risiko for integriteten og fortroligheden af elektronisk kommunikation.
Endelig opfordrer Databeskyttelsesrådet Kommissionen til yderligere at vurdere og overvåge ændringerne i ICO's struktur og udøvelsen af dens korrigerende beføjelser. I denne forbindelse noterer Databeskyttelsesrådet sig med tilfredshed ICO's gennemsigtighedspolitik og tilgængeligheden af statistiske og analytiske data om dets håndhævelsesaktiviteter.
De nye afgørelser om tilstrækkeligheden af beskyttelsesniveauet vil supplere afgørelserne fra 2021, som fortsat vil finde anvendelse på områder, der ikke er omfattet af udkastene til afgørelser fra 2025. Databeskyttelsesrådet bygger på sine udtalelser fra 2021 (14/2021 og 15/2021). Navnlig er den tætte overensstemmelse mellem GDPR-rammen og Det Forenede Kongeriges retlige ramme for centrale bestemmelser, der blev fremhævet i 2021, fortsat gældende i dag (herunder f.eks. gennemsigtighed, registreredes rettigheder og særlige kategorier af oplysninger).
Om LED-udtalelsen
Databeskyttelsesrådet glæder sig over den fortsatte tilpasning mellem databeskyttelsesrammen i Europa og Det Forenede Kongerige og opfordrer Kommissionen til at supplere sin vurdering af aspekter vedrørende undtagelser vedrørende national sikkerhed. Sådanne undtagelser kan fravige de fleste databeskyttelsesprincipper og visse internationale overførselsregler for retshåndhævende myndigheder og også begrænse ICO's håndhævelses- og inspektionsbeføjelser.
Databeskyttelsesrådet opfordrer Kommissionen til at analysere Det Forenede Kongeriges regler om overførsel af personoplysninger til tredjelande, navnlig den nye tilstrækkelighedstest, på samme måde som i udtalelsen om den generelle forordning om databeskyttelse.
Databeskyttelsesrådet påpeger også den mere lempelige tilgang til automatiseret beslutningstagning og de nye beføjelser, der er tillagt Secretary of State i denne sag. Det minder om betydningen af meningsfuld menneskelig gennemgang og opfordrer indtrængende Kommissionen til at præcisere og overvåge mulige undtagelser fra enkeltpersoners ret til menneskelig indgriben.
Endelig anerkender Databeskyttelsesrådet, at systemet for tilsyn med strafferetlige retshåndhævende myndigheder samt klagemekanismerne stort set er uændrede, og det gentager behovet for, at Kommissionen nøje overvåger anvendelsen af korrigerende beføjelser og retsmidler for enkeltpersoner inden for Det Forenede Kongeriges databeskyttelsesramme.
Note til redaktørerne:
* Den 22. juli 2025 offentliggjorde Europa-Kommissionen to udkast til ændring af gennemførelsesafgørelser om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i Det Forenede Kongerige i henhold til artikel 45, stk. 3, i GDPR og artikel 36, stk. 3, i retshåndhævelsesdirektivet. Disse udkast til afgørelser har til formål at forlænge gyldigheden af de tidligere afgørelser om tilstrækkeligheden af beskyttelsesniveauet, der blev vedtaget den 28. juni 2021.
I maj 2025 vedtog Kommissionen en afgørelse om at forlænge gyldigheden af Det Forenede Kongeriges afgørelse om tilstrækkeligheden af beskyttelsesniveauet med yderligere seks måneder fra juni til december 2025. Databeskyttelsesrådet vedtog en udtalelse om denne forlængelse i maj 2025.
** En afgørelse om tilstrækkeligheden af beskyttelsesniveauet er en central mekanisme i EU's databeskyttelseslovgivning, som giver Europa-Kommissionen mulighed for at afgøre, om et tredjeland eller en international organisation tilbyder et tilstrækkeligt databeskyttelsesniveau. Europa-Kommissionen har beføjelse til på grundlag af artikel 45 i forordning (EU) 2016/679 at afgøre, om et land uden for EU tilbyder et tilstrækkeligt databeskyttelsesniveau.
Vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet omfatter: 1) et forslag fra Europa-Kommissionen, 2) en udtalelse fra Det Europæiske Databeskyttelsesråd 3) en godkendelse fra repræsentanter for EU-landene 4) Europa-Kommissionens vedtagelse af afgørelsen.
Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk. Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.