Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) har antagit den slutliga versionen av sina riktlinjer om överföring av uppgifter till myndigheter i tredjeländer enligt artikel 48 dataskyddsförordningen (GDPR).
I riktlinjerna fokuserar EDPB in på artikel 48 GDPR och förtydligar hur organisationer bäst kan bedöma under vilka villkor de lagligen kan svara på förfrågningar om överföring av personuppgifter från myndigheter i tredjeländer.
I riktlinjerna förklaras att domar eller beslut från myndigheter i tredjeländer inte automatiskt kan erkännas eller verkställas i Europa. Som en allmän regel kan ett internationellt avtal innehålla både en rättslig grund och en grund för överföring. Om det inte finns något internationellt avtal, eller om avtalet inte föreskriver en lämplig rättslig grund eller lämpliga skyddsåtgärder, kan andra rättsliga grunder eller andra grunder för överföring övervägas, under exceptionella omständigheter och från fall till fall.
De ändringar som införs i de uppdaterade riktlinjerna ändrar inte deras inriktning, men de syftar till att ge ytterligare klargöranden om olika aspekter som togs upp under det offentliga samrådet. I de uppdaterade riktlinjerna behandlas till exempel den situation där mottagaren av en begäran är ett personuppgiftsbiträde. Dessutom innehåller riktlinjerna ytterligare detaljer om situationen där ett moderbolag i ett tredjeland tar emot en begäran från myndigheten i tredjelandet och sedan begär ut personuppgifterna från sitt dotterbolag i Europa.