Det Europæiske Databeskyttelsesråd

Det Europæiske Databeskyttelsesråd – 15. plenarmøde

Thursday, 14 November, 2019
EDPB

Bruxelles, den 14. november – Den 12. og 13. november samledes EØS-landenes databeskyttelsesmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse i Det Europæiske Databeskyttelsesråd til dets 15. plenarmøde. På plenarmødet blev der drøftet en bred vifte af emner.

Tredje årlige rapport om privatlivsskjoldet
Databeskyttelsesrådet vedtog sin rapport om den tredje årlige fælles gennemgang af EU-USA-privatlivsskjoldet. I rapporten udtrykker Databeskyttelsesrådet tilfredshed med de amerikanske myndigheders bestræbelser på at gennemføre privatlivsskjoldet, navnlig hvad angår tilsyns- og håndhævelsesaktiviteter ex officio vedrørende kommercielle aspekter, samt udnævnelserne af de sidste manglende medlemmer i rådet for tilsyn med privatlivets fred og borgerlige rettigheder (PCLOB) og af en fast ombudsmand.

Der er dog endnu nogle problemstillinger, som skal tages op. Udvalget påpeger, at en væsentlig del af kontrollerne af overholdelsen af indholdet i principperne i privatlivsskjoldet giver anledning til betænkelighed. Andre områder, der kræver yderligere opmærksomhed, er anvendelsen af privatlivsskjoldets krav vedrørende videreoverførsel, oplysninger og databehandlere vedrørende menneskelige ressourcer samt processen til fornyet certificering. Mere generelt vil medlemmerne af evalueringsgruppen få bredere adgang til ikke-offentlige oplysninger, kommercielle aspekter og igangværende undersøgelser.

Hvad angår offentlige myndigheders indsamling af oplysninger opfordrer Databeskyttelsesrådet til, at rådet for tilsyn med privatlivets fred og borgerlige rettigheder udsender og offentliggør yderligere rapporter, bl.a. med en uafhængig vurdering af overvågningsprogrammer, der gennemføres uden for USA's område samtidig med overførsel af oplysninger fra EU til USA. Bestyrelsen gentager, at dets sikkerhedsgodkendte eksperter fortsat er rede til at gennemgå yderligere dokumenter og drøfte yderligere klassificerede elementer.

Databeskyttelsesrådet ser med tilfredshed på de nye elementer, der er fremlagt i løbet af dette års revision, men kan ikke konkludere, at ombudsmanden har tilstrækkelige beføjelser til at få adgang til oplysninger og afhjælpe manglende overholdelse.

Retningslinjer for territorialt anvendelsesområde
Databeskyttelsesrådet vedtog en endelig udgave af retningslinjerne for territorialt anvendelsesområde efter forudgående offentlig høring. Retningslinjerne sigter mod at give EEA's databeskyttelsesmyndigheder en fælles fortolkning af den generelle forordning om databeskyttelse i forbindelse med vurdering af, om en given databehandling, der foretages af en dataansvarlig eller databehandler, falder inden for det territoriale anvendelsesområde i henhold til den retlige ramme, jf. artikel 3 i den generelle forordning om databeskyttelse. Retningslinjerne giver yderligere præciseringer vedrørende anvendelsen af den generelle forordning om databeskyttelse i en række situationer, f.eks. hvor den dataansvarlige eller databehandleren er etableret uden for EØS, herunder vedrørende udpegelsen af en repræsentant og dennes rolle i henhold til artikel 27 i den generelle forordning om databeskyttelse.

De endelige retningslinjer indeholder en ajourført formulering og yderligere retlig begrundelse med henblik på at tackle bemærkninger og feedback fra den offentlige høring, samtidig med at de fastholder den overordnede fortolkning og metode fra den første udgave af retningslinjerne.

Vejledning om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
Databeskyttelsesrådet vedtog retningslinjer for databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Retningslinjerne fokuserer på forpligtelsen til databeskyttelse gennem design og gennem standardindstillinger som fastlagt i artikel 25 i den generelle forordning om databeskyttelse. Den centrale forpligtelse er her at sikre effektiv gennemførelse af databeskyttelsesprincipperne og de registreredes rettigheder og friheder gennem design og gennem standardindstillinger. Dette kræver, at de dataansvarlige gennemfører hensigtsmæssige tekniske og organisatoriske foranstaltninger og tilvejebringer de nødvendige garantier, der er udformet med henblik på at eftergå overholdelsen af databeskyttelsesprincipperne effektivt og beskytte de registreredes rettigheder og friheder. Desuden skal de dataansvarlige kunne påvise, at de gennemførte foranstaltninger er effektive. Retningslinjerne vil blive fremlagt til offentlig høring.

Artikel 64 – Udtalelse om bindende virksomhedsregler for ExxonMobil
Databeskyttelsesrådet vedtog sin udtalelse om udkastet til afgørelse om bindende virksomhedsregler for ExxonMobil, som den belgiske tilsynsmyndighed havde forelagt rådet. Databeskyttelsesrådet er af den opfattelse, at udkastet til bindende virksomhedsregler for den dataansvarlige giver tilstrækkelige garantier som omhandlet i artikel 46, stk. 2, litra b) og er i overensstemmelse med artikel 47 i den generelle forordning om databeskyttelse.

Svarskrivelse til Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender om EU-informationssystemer
Det Europæiske Databeskyttelsesråd vedtog sit svar på anmodningen fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender om en juridisk vurdering af Kommissionens forslag til forordningen om fastsættelse af betingelserne for at få adgang til de andre EU-informationssystemer og til forordningen om fastlæggelse af betingelserne for at få adgang til andre EU-informationssystemer til ETIAS-formål. I brevet anfører Databeskyttelsesrådet, at forslagene bør ses som en del af et større billede, dvs. som de gennemførende dele af interoperabilitetsrammen, og minder om de betænkeligheder, som artikel 29-Gruppen tidligere har givet udtryk for. Desuden påpeges det i brevet, at der er betænkeligheder med hensyn til grundlæggende databeskyttelsesprincipper såsom gennemsigtighed, databeskyttelse gennem design og gennem standardindstillinger, og formålsbegrænsning.

Tillægsprotokol til Budapestkonventionen om cyberkriminalitet
Det Europæiske Databeskyttelsesråd har vedtaget et bidrag til udkastet til anden tillægsprotokol til Europarådets konvention om cyberkriminalitet (Budapestkonventionen), der skal tages i betragtning i forbindelse med høringer i Europarådets komité for konventionen om cyberkriminalitet. Databeskyttelsesrådet minder om, at beskyttelse af personoplysninger og retssikkerhed skal være garanteret for derved at bidrage til målsætningen om – med henblik på deling af personoplysninger med tredjelande til retshåndhævelsesformål – at etablere bæredygtige ordninger, som er fuldt forenelige med EU-traktaterne og chartret om grundlæggende rettigheder.

Bemærkning til redaktører:
Bemærk, at alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, undergår de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og gøres tilgængelige på Databeskyttelsesrådets websted, når de er afsluttet.