Europeiska dataskyddsstyrelsen

Den 15:e plenarsessionen: Översyn av skölden för skydd av privatlivet, riktlinjer för territoriell räckvidd, riktlinjer för inbyggt dataskydd och dataskydd som standard, Yttrande enligt artikel 64 om Exxon Mobil bindande företagsregler, svarsskrivelse til

Thursday, 14 November, 2019
EDPB

Bryssel den 14 november – Den 12 och 13 november samlades dataskyddsmyndigheterna i EES-länderna och den Europeiska datatillsynsmannen i Europeiska dataskyddsstyrelsen för sin femtonde plenarsession. Under plenarsammanträdet diskuterades ett brett spektrum av ämnen.
 
Tredje årliga översynen av skölden för skydd av privatlivet
Den Europeiska dataskyddsstyrelsen (EDPB) antog sin rapport över den tredje årliga gemensamma översynen av skölden för skydd av privatlivet i EU och USA (EU-US Privacy Shield). I rapporten välkomnar EDPB de insatser som gjorts av de amerikanska myndigheterna för att genomföra skölden för skydd av privatlivet, särskilt när det gäller egeninitierade tillsyns- och verkställighetsåtgärder avseende de kommersiella aspekterna, samt utnämningarna av de sista ledamöterna i styrelsen för tillsyn av personlig integritet och medborgerliga fri- och rättigheter (Privacy and Civil Liberties Oversight Board, PCLOB) och en permanent Ombudsperson.

Ett antal frågetecken kvarstår dock. EDPB påpekar att det fortfarande saknas tillräckliga kontroller av hur sköldens principer i sak efterlevs. Andra områden som kräver ytterligare uppmärksamhet är tillämpningen av kraven i skölden när det gäller vidareöverföring, personuppgifter om anställda och personuppgiftsbiträden, liksom förfarandet för omcertifiering. Mer generellt skulle granskningsgruppens medlemmar önska att få en bredare tillgång till icke-offentliga uppgifter om kommersiella aspekter och pågående utredningar.

När det gäller offentliga myndigheters insamling av data uppmanar EDPB PCLOB att utfärda och offentliggöra ytterligare rapporter, bland annat för att ge möjlighet till en oberoende bedömning av övervakningsprogram som genomförs utanför Förenta staternas territorium, när uppgifter överförs från EU till USA. EDPB betonar att dess säkerhetsprövade experter även fortsättningsvis är redo att granska ytterligare dokument och att diskutera ytterligare frågor som omfattas av sekretess.

Samtidigt som Europeiska dataskyddsstyrelsen välkomnar de nya uppgifter som lämnats under årets översyn kan styrelsen inte dra slutsatsen att Ombudspersonen har tillräckliga befogenheter för att få tillgång till information och åtgärda bristande efterlevnad.

Riktlinjer för territoriell räckvidd
Europeiska dataskyddsstyrelsen antog en slutlig version av riktlinjerna för territoriell räckvidd efter offentligt samråd. Riktlinjerna syftar till att uttrycka EES-ländernas dataskyddsmyndigheters gemensamma tolkning av den allmänna dataskyddsförordningen när det gäller att bedöma om en behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde omfattas av förordningens territoriella tillämpningsområde, i enlighet med artikel 3 i förordningen. Riktlinjerna ger ytterligare förtydliganden om hur den allmänna dataskyddsförordningen ska tillämpas i olika situationer såsom när den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad utanför EES. Ett exempel är frågan om utpekande av en företrädare enligt artikel 27 i den allmänna dataskyddsförordningen och dess roll.

De slutligt antagna riktlinjerna innehåller en uppdaterad text och ytterligare rättslig motivering för att möta de kommentarer och synpunkter som inkommit under det offentliga samrådet, samtidigt som den övergripande tolkning och metod som presenteras i den första versionen av riktlinjerna bibehålls.

Riktlinjer om inbyggt dataskydd & dataskydd som standard
Europeiska dataskyddsstyrelsen antog riktlinjer om inbyggt dataskydd och dataskydd som standard. Riktlinjerna fokuserar på skyldigheten att skydda personuppgifter genom sådana åtgärder enligt vad som gäller enligt artikel 25 i den allmänna dataskyddsförordningen. Kärnan i denna skyldighet är att effektivt genomföra principerna för uppgiftsskydd och registrerades fri- och rättigheter genom inbyggt dataskydd och dataskydd som standard. Detta kräver att personuppgiftsansvariga genomför lämpliga tekniska och organisatoriska åtgärder och nödvändiga skyddsåtgärder, som är utformade för att säkerställa ett effektivt uppgiftsskydd och att skydda de registrerades fri- och rättigheter. Dessutom måste personuppgiftsansvariga kunna visa att de genomförda åtgärderna är effektiva. Riktlinjerna kommer att läggas fram för offentligt samråd.

Yttrande enligt artikel 64 om ExxonMobils bindande företagsregler
Europeiska dataskyddsstyrelsen antog sitt yttrande om förslaget till beslut över ExxonMobils bindande företagsregler som överlämnats till styrelsen av den belgiska tillsynsmyndigheten. Europeiska dataskyddsstyrelsen anser att de bindande företagsbestämmelserna ger tillräckliga garantier i den mening som avses i artikel 46 (2) (b) och uppfyller kraven i artikel 47 i den allmänna dataskyddsförordningen.

Svarsskrivelse till utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) om EU: s informationssystem
Europeiska dataskyddsstyrelsen antog sitt svar på en begäran från Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor, om en rättslig bedömning av Europeiska kommissionens förslag till förordning om fastställande av villkoren för åtkomst till andra EU-informationssystem och förslag till förordning om fastställande av villkoren för åtkomst tll andra EU-informationssystem för ETIAS syften. I skrivelsen hävdar Europeiska dataskyddsstyrelsen att förslagen bör ses i ett större sammanhang, dvs. som en del i genomförandet av ramverket om interoperabilitet och påminner om de betänkligheter som tidigare framförts av artikel 29-gruppen. Dessutom påpekas det i skrivelsen att det finns farhågor som rör de grundläggande principerna för uppgiftsskydd, såsom öppenhet, inbyggt dataskydd och dataskydd som standard samt ändamålsbegränsning.

Tilläggsprotokoll till Budapestkonventionen om it-brottslighet
Europeiska dataskyddsstyrelsen har antagit ett bidrag till utkastet till ett andra tilläggsprotokoll till Europarådets konvention om it-relaterad brottslighet (Budapestkonventionen), som ska behandlas inom ramen för samråd som hålls av Europarådets kommitté för konventionen om it-brottslighet (T-CY). Europeiska dataskyddsstyrelsen erinrar om att skyddet av personuppgifter och rättssäkerheten måste garanteras för att man ska kunna bidra till målet att införa hållbara arrangemang kring delning av personuppgifter med tredjeländer i brottsbekämpningssyfte, som är fullt förenliga med EU-fördragen och stadgan om de grundläggande rättigheterna.

Information till redaktörer:
Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarförsamling omfattas av nödvändiga rättsliga, språkliga och formateringskontroller och kommer att göras tillgängliga på Europeiska dataskyddsstyrelsens webbplats så snart dessa har slutförts.