Nye retningslinjer om overføring av personopplysninger ut av EØS
Det europeiske personvernrådet (EDPB) vedtok retningslinjene etter å ha ligget ute på offentlig høring. Innspill fra interessenter er tatt i betraktning.
Det europeiske personvernrådet (EDPB) vedtok retningslinjene etter å ha ligget ute på offentlig høring. Innspill fra interessenter er tatt i betraktning.
Personvernrådet har vedtatt to nye retningslinjer. Den første handler om samspillet mellom geografisk virkeområde i artikkel 3 og bestemmelsene om internasjonale overføringer i kapittel V i personvernforordningen. Den andre angår retningslinjer om bruk av sertifisering som grunnlag ved overføring av personopplysninger ut av EØS.
Målet med disse retningslinjene er å hjelpe behandlingsansvarlige og databehandlere med å vurdere når en behandling anses som internasjonal overføring. I tillegg klargjør retningslinjene hva som er en internasjonal overføring, ettersom begrepet ikke er definert i personvernforordningen.
Videre inkluderer retningslinjene mange praktiske eksempler. Ifølge retningslinjene må tre vilkår oppfylles for at det skal være snakk om en overføring. Disse er:
Vi beskriver disse vilkårene samt mer om overføring nærmere i vår veiledning om overføring av personopplysninger ut av EØS.
Les retningslinjene Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (edpb.europa.eu) i sin helhet på Personvernvårdet sine nettsider.
Personvernrådet har også vedtatt retningslinjer om bruk av sertifisering som grunnlag ved overføring av personopplysninger ut av EØS i henhold til artikkel 46 andre ledd punkt f) og artikkel 42 i personvernforordningen.
Retningslinjene om bruk av sertifisering som grunnlag ved overføring av personopplysninger ut av EØS er et tillegg og bør leses i tråd med de mer generelle retningslinjene 1/2018 om sertifisering. Dette er i henhold til artikkel 42 og 43 i personvernforordningen.
Målet med disse retningslinjene er å utdype og forklare praktisk bruk av sertifisering som grunnlag ved overføring av personopplysninger ut av EØS. Retningslinjene starter med et kapittel som blant annet forklarer partenes roller og beskriver prosessen for å kunne bruke sertifisering som et overføringsgrunnlag. Kapittel 2 forklarer vilkårene for akkreditering av sertifiseringsorganer. Kapittel 3 gir veiledning om sertifiseringskriterier. Tilslutt beskriver kapittel 4 nødvendige elementer som behandlingsansvarlige og databehandlere som ikke er omfattet av personvernforordningens artikkel 3 skal ta i betraktning ved implementering av bindende forpliktelser.
Les retningslinjene Guidelines 07/2022 on certification as a tool for transfers (edpb.europa.eu) i sin helhet på Personvernrådet sine nettsider.