EDPBs uttalanden från februari
Europeiska Dataskyddsstyrelsens utlåtanden i februari 2023
Riktlinje 05/2021
I slutet av februari antog Europeiska Dataskyddsstyrelsen riktlinje 05/2021 om samspelet mellan tillämpningen av artikel 3 i GDPR och reglerna om internationell överföring enligt kapitel V i GDPR. Riktlinjen specificerar i vilka situationer som kapitel V i GDPR ska tillämpas. För att kapitel V i GDPR ska tillämpas måste följande villkor vara uppfyllda;
· En personuppgiftsansvarig eller ett personuppgiftsbiträde (”Exportör”) faller under GDPRs tillämpningsområde avseende överföringen.
· Exportören avslöjar uppgifterna genom överföring eller på något annat sätt tillgängliggör personuppgifterna till en annan personuppgiftsansvarig, gemensamt personuppgiftsansvariga eller personuppgiftsbiträde (”Importören”).
· Importören befinner sig i ett tredje land, oberoende av om Importören behöver tillämpa GDPR avseende den berörda behandlingen eller ej.
För en närmare beskrivning och redogörelse av exempel hänvisas till riktlinje 05/2021.
Opinion 5/2023
Europeiska Dataskyddsstyrelsen har yttrat sig över EU-kommissionens utkast till implementeringsbeslut avseende adekvat skyddsnivå av personuppgifter avseende överföring mellan EU och USA, det så kallade EU-US Data Privacy Framework (”DPF”).
Tanken är att DPF ska ersätta Privacy Shield som ogiltigförklarades genom EU-domstolens så kallade Schrems II-avgörande. Avsikten är att DPF ska skapa förutsättningar för att överföring av personuppgifter ska kunna ske med stöd av adekvat skyddsnivå. Nedan följer en övergripande sammanfattning av innehållet i yttrandet.
· Det konstateras att förbättringar skett, bl.a. avseende införandet av principer om nödvändighet och proportionalitet avseende insamling av uppgifter i underrättelseverksamhet samt att EU-invånare ska kunna söka rättelse genom ett särskilt inrättat institut.
· Ytterligare förbättringar krävs avseende registrerades rättigheter, vidareöverföring av personuppgifter till andra länder och hanteringen kring massinsamling av uppgifter.
· Beslutet om adekvat skyddsnivå bör inte antas förrän det finns policies och rutiner som fullt ut implementerar executive order 14086.
· En övervakningsfunktion bör inrättas för att se hur DPF kommer fungera och tillämpas i praktiken.
MORE Evander bistår löpande verksamheter med rådgivning relaterat till dataskyddsfrågor och integritetsskyddsfrågor. Kontakta oss på telefon 08 20 06 10 eller via mail info@amelegal.se.