Bruxelles, den 20. juli — På det 34. plenarmøde vedtog Databeskyttelsesrådet en udtalelse om EU-Domstolens afgørelse i sagen Facebook Ireland mod Schrems. Udvalget vedtog retningslinjer for samspillet mellem det andet betalingstjenestedirektiv og GDPR samt et svar til Ďuriš Nicholsonová, MEP, om kontaktsporing, interoperabilitet mellem apps og konsekvensanalyser vedrørende databeskyttelse.
Databeskyttelsesrådet vedtog en udtalelse om Den Europæiske Unions Domstols dom i sag C-311/18 – Data Protection Commissioner mod Facebook Ireland og Maximillian Schrems. Udtalelsen ugyldiggør afgørelse 2016/1250 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU's og USA's værn om privatlivets fred, og slår fast, at Kommissionens afgørelse 2010/87 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande er gyldig.
Med hensyn til værnet om privatlivets fred påpeger Databeskyttelsesrådet, at EU og USA i henhold til dommen bør etablere fuldstændige og effektive rammer, som sikrer, at det beskyttelsesniveau, der gælder for personlige data i USA, i det væsentlige svarer til det niveau, som garanteres inden for EU, jf. EU-domstolens dom. Databeskyttelsesrådet har til hensigt fortsat at spille en konstruktiv rolle med henblik på at sikre en transatlantisk overførsel af personlige oplysninger, som er til gavn for statsborgere og organisationer i EØS, og er klar til at støtte og rådgive Europa-Kommissionen i sit arbejde med sammen med USA at etablere nye rammer, som efterlever EU's databeskyttelseslovgivning fuldt ud.
Hvad angår standardkontraktbestemmelser noterer Databeskyttelsesrådet sig, at når dataeksportører og dataimportører overvejer at anvende standardkontraktbestemmelser, er deres primære ansvar at sikre, at bestemmelserne sikrer et beskyttelsesniveau, der i det væsentlige svarer til det beskyttelsesniveau, der garanteres ved den generelle forordning om databeskyttelse på baggrund af EU's charter. Når en sådan forudgående vurdering udføres, skal dataeksportøren (om nødvendigt med importørens hjælp) tage højde for indholdet i standardkontraktbestemmelserne, de særlige omstændigheder i forbindelse med overførslen samt den gældende lovgivning i dataimportørens land. Domstolen understreger, at dataeksportøren kan være nødt til at overveje at indføre yderligere foranstaltninger end dem, der indgår i standardkontraktbestemmelserne. Databeskyttelsesrådet vil undersøge, hvad disse supplerende foranstaltninger kunne bestå i.
Databeskyttelsesrådet noterer sig også de ansvarlige tilsynsmyndigheders pligt til at suspendere eller forbyde en overførsel af oplysninger til et tredjeland i henhold til standardkontraktbestemmelserne, hvis det efter tilsynsmyndighedens skøn og i lyset af samtlige de omstændigheder, der kendetegner denne videregivelse, er tilfældet, at bestemmelserne ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre beskyttelsen af de overførte oplysninger, især hvis den registeransvarlige eller databehandleren ikke allerede selv har suspenderet overførslen eller bragt den til ophør.
Databeskyttelsesrådet minder om, at det har vedtaget retningslinjer for undtagelser fra artikel 49 i GDPR, og at sådanne undtagelser skal anvendes fra sag til sag.
Databeskyttelsesrådet vil gennemgå dommen nøje og komme med yderligere præciseringer til de berørte parter samt vejledning om brugen af instrumenter til overførsel af personoplysninger i henhold til dommen. Som fastslået i EU-Domstolens dom står Databeskyttelsesrådet og de europæiske tilsynsmyndigheder også klar til at sikre overensstemmelsen i hele EØS-området.
Udtalelsen i sin helhed findes her: https://edpb.europa.eu/news//2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en
Databeskyttelsesrådet vedtog retningslinjer for det andet betalingstjenestedirektiv. Det andet betalingstjenestedirektiv moderniserer de retlige rammer for markedet for betalingstjenester. Det er vigtigt at bemærke, at det andet betalingstjenestedirektiv indfører en retlig ramme for nye betalingsinitieringstjenester (PISP) og kontooplysningstjenester (AISP). Brugere kan anmode om, at disse nye udbydere af betalingstjenester får adgang til deres betalingskonti. Efter en workshop for interessenter i februar 2019 udarbejdede Databeskyttelsesrådet retningslinjer for anvendelsen af GDPR på disse nye betalingstjenester.
I følge retningslinjerne er behandlingen af særlige kategorier af data i denne sammenhæng generelt forbudt (jf. artikel 9, stk. 1, i GDPR), med mindre den registrerede udtrykkeligt har givet sit samtykke (artikel 9, stk. 2, litra a, i GDPR), eller behandlingen er nødvendig af hensyn til væsentlige samfundsinteresser (artikel 9, stk. 2, litra g), i GDPR).
Retningslinjerne omhandler også de betingelser, under hvilke kontoførende betalingstjenesteudbydere giver udbydere af betalingsinitieringstjenester og udbydere af kontooplysningstjenester adgang til oplysninger om betalingskonti, navnlig granulær adgang til betalingskonti.
Det præciseres i retningslinjerne, at hverken artikel 66, stk. 3, litra g), eller artikel 67, stk. 2, litra f), i det andet betalingstjenestedirektiv tillader yderligere behandling, medmindre den registrerede har givet sit samtykke i henhold til artikel 6, stk. 1, litra a), i GDPR, eller behandlingen er fastsat i EU-retten eller medlemsstatslovgivning. Retningslinjerne vil blive fremlagt til offentlig høring.
Endelig vedtog udvalget et brev som svar på spørgsmål stillet af Ďuriš Nicholsonová, MEP, vedrørende databeskyttelse i forbindelse med bekæmpelsen af covid-19. Brevet omhandler spørgsmål om harmonisering og interoperabilitet af sporingsapps, kravet om en konsekvensanalyse vedrørende databeskyttelse for databehandling i tilknytning hertil og den mulige varighed af behandlingen.
EDPB_Press Release_2020_12