Европейски комитет за защита на данните

Европейски комитет по защита на данните — тридесет и четвърто пленарно заседание: Schrems II, взаимодействие между Втората директива за платежните услуги и Общия регламент относно защитата на данните и писмо до члена на ЕП- г-жа Ďuriš Nicholsonová относно

Monday, 20 July, 2020

Брюксел, 20 юли — По време на своето 34-то пленарно заседание ЕКЗД прие изявление относно решението на Съда на ЕС по дело Facebook Ireland срещу Schrems. Комитетът прие Насоки за взаимодействието между Втората директива за платежните услуги и Общия регламент относно защитата на данните, както и писмо отговор до члена на ЕП- г-жа Ďuriš Nicholsonová във връзка с проследяването на контакти, оперативната съвместимост на приложения и оценките на въздействието върху защитата на данните.

ЕКЗД прие изявление относно решението на Съда на Европейския съюз по дело C-311/18, Data Protection Commissioner срещу Facebook Ireland и Maximillian Schrems, с което се отменя Решение 2016/1250 относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ (EU-U.S. Privacy Shield), и счита Решение 2010/87 на Комисията относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, за валидно.

По отношение на Щита за личните данни ЕКЗД отбелязва, че ЕС и САЩ трябва да изготвят пълна и ефективна рамка, в съответствие с взетото решение, която да гарантира, че предоставеното в САЩ ниво на защита на личните данни по същество е равностойно на осигуреното в ЕС. ЕКЗД възнамерява да продължи да играе конструктивна роля за постигането на трансатлантическо предаване на лични данни, което да е от полза за гражданите и организациите в ЕИП и има готовност да предостави на Европейската комисия съдействие и насоки, които да ѝ помогнат да изгради заедно със САЩ нова рамка, която да е в пълно съответствие с правото на ЕС за защита на данните.

Що се отнася до стандартните договорни клаузи (СДК), ЕКЗД отбелязва първоначалната отговорност на износителя и вносителя, когато се извършва преценка относно необходимостта от сключване на СДК, за да се гарантира, че тези клаузи осигуряват определено ниво на защита, което е като цяло еквивалентно на защитата, гарантирана от Общия регламент относно защитата на данните (ОРЗД) във връзка с Хартата на ЕС. Когато извършва такава предварителна оценка, износителят (при необходимост със съдействието на вносителя) следва да вземе предвид съдържащата се в СДК уредба, конкретните обстоятелства на предаването, както и правната уредба, която се прилага в държавата на вносителя. Съдът подчертава, че износителят може да прецени, че е необходимо да въведе допълнителни мерки, които са извън предвидените в СДК. ЕКЗД ще разгледа по-подробно в какво могат да се изразяват тези допълнителни мерки.

ЕКЗД отбелязва също така задълженията на компетентните надзорни органи (НО) да спрат или забранят предаването на данни на трета държава, основаващо се на СДК, когато с оглед на всички обстоятелства във връзка с това предаване компетентният НО счита, че тези клаузи не са или не могат да бъдат спазени в тази трета държава и когато защитата на предаваните данни не може да бъде осигурена с други средства, по-специално, когато самият администратор или обработващ лични данни все още не е спрял или прекратил предаването.

ЕКЗД напомня, че е приел насоки относно член 49 от ОРЗД, както и че такива дерогации трябва да се прилагат според конкретния случай.

ЕКЗД ще направи по-подробна оценка на решението и ще предостави допълнителни разяснения за заинтересованите страни, както и насоки за използването на инструментите за предаването на лични данни на трети държави в съответствие с решението. ЕКЗД и неговите европейски НО имат също така готовност, както посочва Съдът на Европейския съюз, да осигурят съгласуваност в цялото ЕИП.

Пълният текст на документа може да се намери на следния адрес: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_bg

ЕКЗД прие Насоки относно Втората директива за платежните услуги. Втората директива за платежните услуги модернизира нормативната уредба на пазара на платежните услуги. Важно е да се отбележи, че Втората директива за платежните услуги дава нормативна уредба на нови услуги за иницииране на плащане и предоставяне на информация за сметки. Потребителите могат да искат на тези нови доставчици на платежни услуги да бъде предоставен достъп до техните платежни сметки. ЕКЗД разработи Насоки за прилагането на Общия регламент относно защитата на данните към тези нови платежни услуги като взе предвид резултатите от проведен семинар през февруари 2019 г. с участието на заинтересованите страни.

В Насоките се посочва, че  обработването на специални категории лични данни по принцип е забранено (в съответствие с член 9, параграф 1 от ОРЗД), освен в случаите, когато субектът на данните е предоставил изрично съгласие (член 9, параграф 2, буква a) от ОРЗД) или обработването е необходимо по причини от важен обществен интерес (член 9, параграф 2, буква ж) от ОРЗД).

Наред с горното, в Насоките са разгледани и условията, при които доставчиците на платежни услуги, обслужващи сметки, предоставят достъп до информация за платежни сметки на доставчици на услуги по иницииране на плащане и услуги по предоставяне на информация за сметки, и по-специално, подробен достъп до платежни сметки.

В Насоките се пояснява, че нито член 66, параграф 3, буква ж), нито член 67, параграф 2, буква е) от Втората директива за платежните услуги допускат допълнително обработване, освен ако субектът на данните е предоставил своето съгласие в съответствие с член 6, параграф 1, буква a) от ОРЗД или обработването е предвидено в законодателството на Съюза или на държава членка. Насоките ще бъдат представени за обществена консултация.

И накрая, Комитетът прие писмо в отговор на въпросите на члена на ЕП- г-жа Ďuriš Nicholsonová относно защитата на данните в контекста на борбата срещу COVID-19. В писмото са разгледани въпроси, свързани с хармонизирането и оперативната съвместимост на приложения за проследяване на контакти, изискването за извършване на оценка на въздействието върху защитата на данните при предприемане на такова обработване и допустимата продължителност на операцията по обработване.

EDPB_Press Release_2020_12