Förenkling av GDPR på EDPB:s agenda
Den 3–4 juni träffades dataskyddsmyndigheternas representanter i Europeiska dataskyddsstyrelsen (EDPB) för ett nytt plenarmöte. Vid mötet antog man riktlinjer kring vad som gäller när ett företag i EU får en begäran från en myndighet i ett tredje land (utanför EU/EES) om att lämna ut personuppgifter.
I riktlinjerna klargörs att syftet med artikel 48 i dataskyddsförordningen är att påminna om att domar och beslut från myndigheter i tredjeländer inte automatiskt erkänns eller kan genomföras i EU – för detta krävs ett internationellt avtal. Om det finns ett sådant avtal kan det ge stöd både för den behandling som utlämnandet innebär (såsom en rättslig skyldighet eller ett allmänt intresse) och för tredjelandsöverföringen (såsom ett instrument som innehåller lämpliga skyddsåtgärder). Om inte något avtal finns, måste man hitta ett annat stöd i GDPR för behandlingen och överföringen. Riktlinjerna antogs slutligt efter att allmänheten kunnat lämna synpunkter på en första version.
Vid mötet diskuterades också EU-kommissionens förslag om förenkling av GDPR, genom en utvidgning av undantaget från skyldigheten att föra register över personuppgiftsbehandling. Det har bland annat föreslagits att undantaget ska gälla för företag med färre än 750 anställda i stället för, som i dag, företag med färre än 250 anställda. EDPB och Europeiska datatillsynsmannen (EDPS) kommer att ta fram ett gemensamt yttrande över förslaget.
Slutligen presenterades också två rapporter som tillhandahåller utbildningsmaterial för såväl jurister som tekniker kring AI och dataskydd. Rapporterna, som tagits fram av externa experter, kommer att publiceras av EDPB. Det kommer att finnas tillfälle att lämna synpunkter på rapporterna.