Europeiska dataskyddsstyrelsen

Europeiska dataskyddsstyrelsen – sjätte plenarsessionen: Privacy Shield, brexit, kliniska prövningar Q & A, förteckningar över uppgiftsskydd, riktlinjer för certifiering, Europeiska dataskyddsstyrelsens svar till Australian SA om anmälan av personuppgifts

Thursday, 24 January, 2019
EDPB

Bryssel den 24 januari – Den  22  och 23 januari sammanträdde den Europeiska dataskyddsstyrelsen (EDPB) i sin sjätte plenarsession. Under plenarsessionen diskuterades ett brett spektrum av ämnen.

Privacy Shield
Medlemmarna i styrelsen antog EDPBs rapport om den andra årliga översynen av överenskommelsen mellan EU och USA om Privacy Shield. EDPB välkomnar de ansträngningar som gjorts av de amerikanska myndigheterna och kommissionen för att genomföra Privacy Shield, särskilt de åtgärder som vidtagits för att anpassa den inledande certifieringen, inledandet av tillsyns- och verkställighetsåtgärder på eget initiativ samt insatserna för att offentliggöra ett antal viktiga dokument, delvis genom hävande av sekretess (såsom FISA-domstolens beslut), utnämning av en ny ordförande och tre nya medlemmar av styrelsen för tillsyn av personlig integritet och medborgerliga fri- och rättigheter (PCLOB) och den nyligen offentliggjorda utnämningen av en permanent ombudsman.

Mot bakgrund av resultaten av den andra gemensamma översynen kvarstår följande farhågor när det gäller genomförandet av Privacy Shield. Detta inbegriper farhågor som redan uttryckts av EDPBs föregångare WP29 om avsaknaden av konkreta garantier för att urskillningslös insamling och tillgång till personuppgifter för nationella säkerhetsändamål inte sker. På grundval av den information som hittills lämnats kan EDPB  för närvarande inte anse att ombudsmannen har tillräckliga befogenheter för att åtgärda bristande efterlevnad. Dessutom påpekar styrelsen att kontrollen av hur innehållet i Privacy Shields principer efterlevs inte är tillräckligt stark.

Dessutom har EDPB vissa ytterligare farhågor när det gäller de nödvändiga kontrollerna av  att kraven kring vidareöverföring uppfylls, innebörden av begreppet personaluppgifter och förfarandet för omcertifiering samt en förteckning över återstående frågor som togs upp efter den första gemensamma översynen och som fortfarande är under behandling.

Brexit
EDPB diskuterade de möjliga konsekvenserna av brexit för uppgiftsskyddet. Medlemmarna enades om att samarbeta och utbyta information om sina förberedelser och vilka verktyg som finns tillgängliga för att överföra uppgifter till Förenade kungariket, när Förenade kungariket inte längre kommer att vara en del av EU.

Kliniska prövningar Q & A
På begäran av Europeiska kommissionen (GD SANTE) antog EDPB ett yttrande om frågor och svar avseende kliniska prövningar. Yttrandet tar särskilt upp de aspekter som rör de lämpliga rättsliga grunderna i samband med kliniska prövningar och de sekundära användningarna av data från kliniska prövningar för vetenskapliga ändamål. Yttrandet kommer nu att överlämnas till Europeiska kommissionen.

Förteckningar över konsekvensbedömning

EDPB antog yttranden över de förteckningar som Liechtenstein och Norge lämnat in till styrelsen över när konsekvensbedömning avseende dataskydd ska göras. Dessa förteckningar utgör ett viktigt verktyg för en enhetlig tillämpning av den allmänna dataskyddsförordningen i hela EES. En konsekvensbedömning avseende dataskydd är ett sätt att bidra till att identifiera och begränsa dataskyddsrisker som skulle kunna påverka enskilda personers rättigheter och friheter. Den personuppgiftsansvarige behöver visserligen i regel bedöma om en konsekvensbedömning avseende dataskydd krävs innan den inleder en behandling, men de nationella tillsynsmyndigheterna ska upprätta och offentliggöra en förteckning över den typ av behandling som omfattas av kravet på en konsekvensbedömning. Dessa två yttranden följer på de 22 yttranden som antogs vid plenarsessionen i september och de fyra yttranden som antogs vid plenarsessionen i december, och kommer att bidra ytterligare till att fastställa gemensamma kriterier för förteckningar över konsekvensbedömningar i hela EES.

Vägledning för certifiering
EDPB antog den slutliga versionen av vägledning om certifiering efter offentliga samråd. Dessutom antog styrelsen en ny bilaga. Ett utkast till vägledning antogs vid EDPBs första plenarsession i maj. Det främsta syftet med denna vägledning är att fastställa övergripande kriterier som kan vara relevanta för alla typer av certifieringsmekanismer som utfärdas i enlighet med artikel 42 och artikel 43 i den allmänna dataskyddsförordningen. Vägledningen undersöker därför grunden för certifiering som ett verktyg för att utkräva ansvar, förklarar nyckelbegreppen i certifieringsbestämmelserna i artikel 42 och artikel 43, förklarar omfattningen av vad som kan certifieras och beskriver syftet med certifieringen. Riktlinjerna kommer att hjälpa medlemsstaterna, tillsynsmyndigheter och nationella ackrediteringsorgan vid översyn och godkännande av certifieringskriterier i enlighet med artikel 42 och artikel 43 i den allmänna dataskyddsförordningen. Bilagan kommer att bli föremål för offentligt samråd.

Svar till Australian Supervisory Authority
I oktober 2018 mottog EDPBs ordförande en skriftlig förfrågan från den australiska dataskyddsmyndigheten om  tillsynsmyndigheternas offentliggörande av anmälningar om personuppgiftsincidenter. EDPB välkomnar den australiska kommissionsledamotens intresse av att samarbeta med EDPB i denna fråga och betonar vikten av internationellt samarbete. I sitt svar ger EDPB ytterligare information om huruvida och hur tillsynsmyndigheterna hanterar offentliggörandet av information om anmälningar av personuppgiftsincidenter.