Det Europæiske Databeskyttelsesråd

Det Europæiske Databeskyttelsesråds sjette plenarmøde: Privatlivsskjold, Brexit, spørgsmål og svar vedrørende kliniske forsøg, lister for databeskyttelseskonsekvensanalyser, retningslinjer for certificering, Databeskyttelsesrådets svar til de australske t

Thursday, 24 January, 2019
EDPB

Bruxelles, den 24. januar — Den 22. og 23. januar deltog repræsentanter for de europæiske databeskyttelsesmyndigheder i Det Europæiske Databeskyttelsesråds sjette plenarmøde. På mødet blev der drøftet en lang række emner.
 
Privatlivsskjold
Databeskyttelsesrådets medlemmer vedtog Databeskyttelsesrådets rapport om den anden årlige evaluering af EU-USA-privatlivsskjoldet. Det Europæiske Databeskyttelsesråd glæder sig over de amerikanske myndigheders og Kommissionens indsats for at gennemføre privatlivsskjoldet, navnlig de foranstaltninger, der er truffet for at tilpasse den indledende certificeringsprocedure og iværksætte tilsyns- og håndhævelsesforanstaltninger, bestræbelserne på, delvis gennem afklassificering (såsom afgørelser truffet af FISA-domstolen), at offentliggøre en række vigtige dokumenter, udnævnelsen af en ny formand og af tre nye medlemmer af rådet for tilsyn med privatlivets fred og borgerlige rettigheder (PCLOB) samt den nyligt bebudede udnævnelse af en permanent ombudsmand.

I lyset af konklusionerne i den anden fælles evaluering giver følgende forhold vedrørende gennemførelsen af privatlivsskjoldet fortsat anledning til betænkeligheder. Disse omfatter spørgsmål, som Databeskyttelsesrådets forgænger, Artikel 29-Gruppen, allerede gav udtryk for med hensyn til manglen på konkrete løfter om at udelukke vilkårlig indsamling og adgang til personoplysninger af hensyn til den nationale sikkerhed. På baggrund af de hidtil fremlagte oplysninger har Databeskyttelsesrådet heller ikke på nuværende tidspunkt grund til at mene, at ombudsmanden har de fornødne beføjelser til at afhjælpe manglende overholdelse. Desuden påpeger Databeskyttelsesrådet, at kontrollen med, om principperne for privatlivsskjoldet i det store og hele overholdes, ikke er tilstrækkelig stærk.

Databeskyttelsesrådet har endvidere yderligere betænkeligheder angående den nødvendige kontrol for at opfylde de videre krav i forbindelse med overførslen, rækkevidden af begrebet "HR-data" og proceduren vedrørende fornyet certificering samt angående den liste af resterende spørgsmål, der er blevet rejst efter den første fælles evaluering, og som endnu ikke er afsluttet.

Brexit
Databeskyttelsesrådet drøftede de mulige konsekvenser af Brexit på området for databeskyttelse. Databeskyttelsesrådets medlemmer blev enige om at samarbejde og udveksle oplysninger om deres forberedelser og de tilgængelige værktøjer til overførsel af data til Det Forenede Kongerige, når Det Forenede Kongerige ikke længere vil være en del af EU.

Spørgsmål og svar vedrørende kliniske forsøg
På anmodning fra Europa-Kommissionen (GD SANTE) vedtog Databeskyttelsesrådet sin udtalelse om spørgsmålene og svarene vedrørende kliniske forsøg. Udtalelsen omhandler navnlig aspekterne vedrørende et tilstrækkeligt retsgrundlag i forbindelse med kliniske forsøg samt sekundær anvendelse af kliniske forsøgsdata til videnskabelige formål. Udtalelsen fremsendes nu til Europa-Kommissionen.

Lister for konsekvensanalyser vedrørende databeskyttelse
Databeskyttelsesrådet vedtog udtalelser om de lister for databeskyttelseskonsekvensanalyser, det havde modtaget fra Liechtenstein og Norge. Disse lister er et vigtigt redskab til at sikre en ensartet anvendelse af databeskyttelsesforordningen overalt i EØS. Databeskyttelseskonsekvensanalyse er en proces, der skal hjælpe med at indkredse og afbøde databeskyttelsesrisici, der kan påvirke enkeltpersoners rettigheder og friheder. Mens den registeransvarlige skal vurdere, hvorvidt det er nødvendigt at foretage en databeskyttelseskonsekvensanalyse, inden databehandlingen iværksættes, skal de nationale tilsynsmyndigheder fastsætte og udarbejde en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse. Disse to udtalelser følger efter de 22 udtalelser, der blev vedtaget på plenarmødet i september, og de fire udtalelser, der blev vedtaget på plenarmødet i december, og vil bidrage yderligere til at fastlægge fælles kriterier for listerne for databeskyttelseskonsekvensanalyser i hele EØS.

Retningslinjer for certificering
Databeskyttelsesrådet vedtog efter en offentlig høring den endelige udgave af retningslinjerne for certificering. Desuden vedtog Databeskyttelsesrådet et nyt bilag. Det Europæiske Databeskyttelsesråd vedtog på sit første plenarmøde i maj et udkast til retningslinjer. Hovedformålet med disse retningslinjer er at indkredse de overordnede kriterier, som kan være relevante for alle typer certificeringsmekanismer, der udstedes i overensstemmelse med databeskyttelsesforordningens artikel 42 og 43. I den forstand afdækker retningslinjerne rationalet bag certificering som et ansvarlighedsværktøj, redegør for nøglebegreberne i certificeringsbestemmelserne i artikel 42 og 43, angiver omfanget af, hvad der kan certificeres, og gennemgår formålet med certificeringen. Retningslinjerne vil hjælpe medlemsstaterne, tilsynsmyndighederne og de nationale akkrediteringsorganer med at gennemgå og godkende kriterierne for certificering i overensstemmelse med databeskyttelsesforordningens artikel 42 og 43. Bilaget vil blive genstand for en offentlig høring.

Svar til de australske tilsynsmyndigheder om anmeldelse af brud på datasikkerheden
I oktober 2018 modtog formanden for Databeskyttelsesrådet en skriftlig anmodning fra den australske databeskyttelsestilsynsmyndighed (Information Commissioner's Office) om tilsynsmyndighedernes offentliggørelse af anmeldelser af brud på datasikkerheden. Databeskyttelsesrådet glæder sig over den australske tilsynsmyndigheds interesse i at samarbejde med Det Europæiske Databeskyttelsesråd om dette spørgsmål og understreger betydningen af internationalt samarbejde. Databeskyttelsesrådet giver i sit svar yderligere oplysninger om, hvorvidt og hvordan tilsynsmyndighederne håndterer offentliggørelsen af oplysninger vedrørende anmeldelser af brud på datasikkerheden.