Europeiska dataskyddsstyrelsen gav rekommendation om bindande regler gällande företag och blankett för anmälan till dataskyddsmyndigheterna
Under sitt plenariesammanträde i juni antog europeiska dataskyddsstyrelsen rekommendationer om bindande regler gällande företag för personuppgiftsansvariga (BCR-C, Controller Binding Corporate Rules). Samtliga personuppgiftsansvariga som använder BCR-regler ska uppdatera sina regler i enlighet med de nya rekommendationerna. Med den nya blanketten för privatpersoner underlättar dataskyddsstyrelsen anförandet av besvär till tillsynsmyndigheterna samt behandlingen av gränsöverskridande fall.
Efter ett offentligt samrådsförfarande godkände dataskyddsstyrelsen rekommendationerna, som gäller de personuppgiftsansvarigas ansökningar om godkännande av BCR-regler samt de omständigheter och principer som reglerna ska innehålla. De för företaget bindande reglerna kan användas för överföring av personsuppgifter inom en företagsgrupp till personuppgiftsansvariga och personuppgiftsbiträden belägna utanför EU- och EES-området
Genom rekommendationen uppdateras den ikraftvarande anvisningen om kriterierna för godkännande av regler. I dem förklaras bland annat vad den personuppgiftsansvarigas BCR-regler bör innehålla och vad som ska presenteras i BCR-ansökan. Rekommendationerna innehåller också en uppdaterad ansökningsblankett i standardformat för BCR-reglerna. Rekommendationerna uppdaterar dessutom de nuvarande anvisningarna så att de motsvarar EU-domstolens Schrems II-avgörande.
Kraven i rekommendationerna får från och med publiceringstidpunkten tillämpas på den personuppgiftsansvarigas samtliga användare av BCR-reglerna. Beroende på situationen ska de som använder BCR-regler samt de som ansöker om godkännande av BCR-regler uppdatera reglerna i enlighet med kraven antingen under ansökningsprocessen eller i samband med den årliga uppdateringen för 2024.
Dataskyddsstyrelsen utarbetar för tillfället också rekommendationer om BCR-regler för personuppgiftsbiträden.
Ny modellblankett från dataskyddsstyrelsen underlättar anförande av besvär
Den nya blanketten underlättar privatpersonernas möjligheter att anföra besvär hos EU- och EES-områdets dataskyddsmyndigheter.
"Modellblanketten är en av de överenskomna reformerna för effektivisering av dataskyddsmyndigheternas verkställighetssamarbete, som Europeiska dataskyddsstyrelsen fattade beslut om på sitt möte i Wien i april 2022. Blanketten underlättar gränsöverskridande datautbyte mellan dataskyddsmyndigheterna och med hjälp av den kan dataskyddsmyndigheterna spara tid och effektivare avgöra gränsöverskridande fall", säger ordförande för dataskyddsstyrelsen Anu Talus.
Modellblanketten beaktar skillnaderna i nationell lagstiftning och praxis. Det är frivilligt för dataskyddsmyndigheterna att använda blanketten och de får omarbeta blanketten enligt de nationella kraven.
Blanketten kan användas i de fall då privatpersonen själv anför besvär samt i de fall då någon annan, det vill säga en laglig representant, en organisation som agerar för privatpersonen eller en organisation som agerar på eget initiativ anför besväret.
Dataskyddsstyrelsen har dessutom utarbetat en modell för anmälan om mottagande, där det finns information till anmälaren om de följande faserna och rättsskyddmetoderna efter det att besväret anförts.
Mer information:
Dataskyddsstyrelsens engelskspråkiga meddelande på styrelsens webbplats: EDPB adopts template complaint form and a final version of Recommendations on the application for approval and on the elements and principles to be found in Controller BCRs (21.6.2023)