Det Europæiske Databeskyttelsesråd

Det Europæiske Databeskyttelsesråd — 35. plenarmøde: Orienterende note om bindende virksomhedsregler med den britiske tilsynsmyndighed som ledende myndighed

Thursday, 23 July, 2020

Bruxelles, den 23. juli — På baggrund af den forestående afslutning af brexit-overgangsperioden har Databeskyttelsesrådet vedtaget en orienterende note om foranstaltninger, som tilsynsmyndigheder, indehavere af godkendte bindende virksomhedsregler og organisationer, der venter på at få deres virksomhedsregler godkendt af den britiske tilsynsmyndighed, skal træffe for at sikre, at disse bindende virksomhedsregler stadig kan anvendes som et gyldigt overførselsredskab efter udløbet af overgangsperioden. Da den britiske tilsynsmyndighed ikke længere betragtes som kompetent tilsynsmyndighed i henhold til GDPR ved udløbet af overgangsperioden, vil de afgørelser om godkendelse, der er truffet af den britiske tilsynsmyndighed i henhold til GDPR, ikke længere have retsvirkning i EØS-området. Desuden kan det være nødvendigt at ændre indholdet af de pågældende bindende virksomhedsregler inden overgangsperiodens udløb, da disse regler generelt indeholder henvisninger til den britiske retsorden. Dette gælder også bindende virksomhedsregler, der allerede er godkendt i henhold til direktiv 94/46/EF.

De, der har fået deres bindende virksomhedsregler godkendt, og som har den britiske tilsynsmyndighed som ledende tilsynsmyndighed for deres bindende virksomhedsregler, skal træffe organisatoriske foranstaltninger for at udpege en ny ledende tilsynsmyndighed for bindende virksomhedsregler i EØS-området. Ændringen af den ledende tilsynsmyndighed for bindende virksomhedsregler skal ske inden udløbet af brexit-overgangsperioden.

De, der endnu ikke har fået deres ansøgning om godkendelse af bindende virksomhedsregler godtaget, opfordres til at træffe alle organisatoriske foranstaltninger for at udpege en ny ledende tilsynsmyndighed for bindende virksomhedsregler i EØS-området i god tid inden udløbet af brexit-overgangsperioden. Det indbefatter, at de skal kontakte den pågældende tilsynsmyndighed for at give alle de nødvendige oplysninger om, hvorfor de vil have den tilsynsmyndighed som ny ledende tilsynsmyndighed for bindende virksomhedsregler. Sidstnævnte vil derefter overtage ansøgningen og formelt indlede en godkendelsesprocedure, der vil blive genstand for en udtalelse fra Databeskyttelsesrådet. Alle bindende virksomhedsregler, der er godkendt af den britiske tilsynsmyndighed i henhold til GDPR, vil kræve, at den nye ledende EØS-tilsynsmyndighed for bindende virksomhedsregler træffer en ny godkendelsesbeslutning inden overgangsperioden udløber, efterfulgt af en udtalelse fra Databeskyttelsesrådet. Databeskyttelsesrådet har også vedtaget et bilag med en tjekliste over elementer, der skal ændres i dokumenterne om bindende virksomhedsregler i forbindelse med brexit.

Denne orienterende note berører ikke Databeskyttelsesrådets igangværende analyse af, hvilke konsekvenser EU-Domstolens dom Data protection commissioner mod Facebook Ireland og Schrems får for bindende virksomhedsregler som overførselsredskaber.

EDPB_Pressemeddelelse_2020_13