Europeiska dataskyddsstyrelsen

Europeiska dataskyddsstyrelsen – 34:e plenarmötet: Schrems II, samspel mellan PSD2 och den allmänna dataskyddsförordningen och en skrivelse till Europaparlamentsledamoten Ďuriš Nicholsonová om kontaktspårning, appars interoperabilitet och konsekvensbedömn

Monday, 20 July, 2020

Bryssel den 20 juli – Under sitt 34:e plenarmöte antog Europeiska dataskyddsstyrelsen ett uttalande om EU-domstolens dom i målet Facebook Ireland mot Schrems. Europeiska dataskyddsstyrelsen antog riktlinjer för samspelet mellan det andra betaltjänstdirektivet (PSD2) och den allmänna dataskyddsförordningen samt en svarsskrivelse till Europaparlamentsledamoten Ďuriš Nicholsonová om kontaktspårning, appars interoperabilitet och konsekvensbedömningar avseende dataskydd.

Europeiska dataskyddsstyrelsen antog ett uttalande om Europeiska unionens domstols dom i mål C-311/18 – Data Protection Commissioner mot Facebook Ireland och Maximillian Schrems, som ogiltigförklarar beslut 2016/1250 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna och som slår fast att kommissionens beslut 2010/87 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeländer är giltigt.

Beträffande skölden för skydd av privatlivet påpekar Europeiska dataskyddsstyrelsen att EU och Förenta staterna bör komma överens om ett heltäckande och effektivt ramverk som garanterar att graden av personuppgiftsskydd i Förenta staterna är väsentligen likvärdig med den som garanteras inom EU, i enlighet med domstolens dom. Europeiska dataskyddsstyrelsen har för avsikt att fortsätta att ha en konstruktiv roll för att säkerställa en dataöverföring av personuppgifter över Atlanten som är till gagn för EES medborgare och organisationer, och står beredd att bistå och vägleda kommissionen i dess arbete med att tillsammans med Förenta staterna bygga upp ett nytt ramverk som på alla punkter uppfyller EU:s dataskyddslagstiftning.

När det gäller standardavtalsklausuler noterar Europeiska dataskyddsstyrelsen att när uppgiftsutförare och uppgiftsinförare överväger att tillämpa standardavtalsklausuler är deras främsta ansvar att säkerställa att dessa klausuler borgar för en skyddsnivå som är väsentligen likvärdig med den som garanteras av den allmänna dataskyddsförordningen mot bakgrund av EU-stadgan om de grundläggande rättigheterna. När en sådan föregående utvärdering genomförs ska uppgiftsutföraren (vid behov med hjälp av uppgiftsinföraren) ta hänsyn till innehållet i standardavtalsklausulerna, de särskilda omständigheterna kring överföringen och den gällande lagstiftningen i uppgiftsinförarens land. Domstolen understryker att uppgiftsutföraren kan behöva överväga att införa ytterligare åtgärder utöver dem som ingår i standardavtalsklausulerna. Europeiska dataskyddsstyrelsen kommer att undersöka vilka dessa ytterligare åtgärder skulle kunna vara.

Europeiska dataskyddsstyrelsen noterar även att de behöriga tillsynsmyndigheterna är skyldiga att avbryta eller förbjuda dataöverföring till ett tredjeland enligt standardavtalsklausuler om dessa klausuler, enligt den behöriga tillsynsmyndigheten och mot bakgrund av omständigheterna kring överföringen, inte följs eller inte kan följas i tredjelandet i fråga, samt om skyddet för de uppgifter som överförs inte kan säkerställas på annat sätt. Detta gäller i synnerhet i fall då den personuppgiftsansvarige eller personuppgiftsbiträdet inte redan själv avbrutit eller avslutat överföringen.

Europeiska dataskyddsstyrelsen påminner om att den har utfärdat riktlinjer om artikel 49 i den allmänna dataskyddsförordningen och om att tillämpningen av sådana undantag måste bedömas från fall till fall.

Europeiska dataskyddsstyrelsen kommer att bedöma domen närmare och tillhandahålla ytterligare klargöranden för intressenter och riktlinjer om användning av instrument för överföring av personuppgifter till tredjeländer med anledning av domen. Som fastställts av EU-domstolen är Europeiska dataskyddsstyrelsen och dess behöriga tillsynsmyndigheter redo att säkerställa överensstämmelsen inom hela EES-området.

Det fullständiga uttalandet finns här: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_sv

Europeiska dataskyddsstyrelsen antog riktlinjer om det andra betaltjänstdirektivet (PSD2). PSD2 utgör en modernisering av den rättsliga ramen för marknaden för betaltjänster. Exempel på viktiga nyheter i PSD2 är en rättslig ram för nya betalningsinitieringstjänster (leverantörer av betalningsinitieringstjänster) och kontoinformationstjänster (leverantörer av kontoinformationstjänster). Användare kan begära att dessa nya betaltjänstleverantörer beviljas tillgång till deras betalkonton. Efter en intressentworkshop i februari 2019 utarbetade Europeiska dataskyddsstyrelsen riktlinjer om hur den allmänna dataskyddsförordningen ska tillämpas på dessa nya betaltjänster.

I riktlinjerna anges att behandling av särskilda kategorier av personuppgifter i detta sammanhang i allmänhet är förbjuden (i enlighet med artikel 9.1 i den allmänna dataskyddsförordningen), utom i fall då den registrerade uttryckligen ger sitt samtycke (artikel 9.2 a i den allmänna dataskyddsförordningen) eller om uppgiftsbehandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g i den allmänna dataskyddsförordningen).

I riktlinjerna behandlas också villkoren för att kontoförvaltande betaltjänstleverantörer ska kunna bevilja tillgång till betalkontoinformation till leverantörer av betalningsinitieringstjänster och leverantörer av kontoinformationstjänster, i synnerhet tillgång till betalkonton på detaljnivå.

I riktlinjerna klargörs att varken artikel 66.3 g eller artikel 67.2 f i PSD2 tillåter någon ytterligare behandling av personuppgifter, såvida inte den registrerade har lämnat sitt samtycke enligt artikel 6.1 a i den allmänna dataskyddsförordningen eller behandlingen föreskrivs genom unionslagstiftning eller nationell lagstiftning. Riktlinjerna kommer att läggas fram för offentligt samråd.

Slutligen antog styrelsen en skrivelse med svar på Europaparlamentsledamoten Ďuriš Nicholsonovás frågor om dataskydd i samband med kampen mot covid-19. I skrivelsen behandlas frågor om kontaktspårningsappars harmonisering och interoperabilitet, kravet på en konsekvensbedömning avseende dataskydd för sådan behandling och hur lång tid denna behandling ska få pågå.

EDPB_Press Release_2020_12