Det Europæiske Databeskyttelsesråd

Det Europæiske Databeskyttelsesråd — 37. plenarmøde: Retningslinjer for dataansvarlige og databehandlere, retningslinjer for målretning mod brugere af sociale medier, taskforce for klager, der er indgivet som følge af EU-Domstolens Schrems II-dom, taskfor

Friday, 4 September, 2020

Bruxelles, den 3. september — Databeskyttelsesrådet vedtog retningslinjer for begreberne dataansvarlig og databehandler i den generelle forordning om databeskyttelse og retningslinjer for målretning mod brugere af sociale medier. Derudover oprettede Databeskyttelsesrådet en taskforce for klager som følge af EU-Domstolens Schrems II-dom og en taskforce for supplerende foranstaltninger, som dataeksportører og -importører kan blive pålagt at træffe, for at sikre tilstrækkelig beskyttelse ved overførsel af data i lyset af EU-Domstolens Schrems II-dom.

Databeskyttelsesrådet vedtog retningslinjer for begreberne dataansvarlig og databehandler i den generelle forordning om databeskyttelse. Siden den generelle forordning om databeskyttelse trådte i kraft, er der blevet rejst spørgsmål om, i hvilket omfang den generelle forordning om databeskyttelse har medført ændringer af disse begreber, navnlig med hensyn til begrebet fælles dataansvar (jf. artikel 26 i den generelle forordning om databeskyttelse og efter flere Domstols-afgørelser) og databehandleres forpligtelser (navnlig artikel 28 i den generelle forordning om databeskyttelse), som er fastsat i kapitel IV i den generelle forordning om databeskyttelse.

I marts 2019 afholdt Det Europæiske Databeskyttelsesråd sammen med sit sekretariat et arrangement for interessenter. Arrangementet gjorde det klart, at der var behov for mere praktisk vejledning, og gav Databeskyttelsesrådet mulighed for bedre at forstå behovene og bekymringerne på området. De nye retningslinjer består af to hoveddele. Den ene del forklarer de forskellige begreber. Den anden del indeholder en detaljeret vejledning om, hvilken betydning begreberne primært har for dataansvarlige, databehandlere og fælles dataansvarlige. Retningslinjerne indeholder et flowdiagram, som skal give yderligere praktisk vejledning. Retningslinjerne vil blive sendt ud til offentlig høring.

Databeskyttelsesrådet vedtog retningslinjer for målretning mod brugere af sociale medier. Retningslinjerne har til formål at yde praktisk vejledning til interessenter og indeholder flere eksempler på forskellige situationer, så de berørte parter hurtigt kan identificere det "scenarie", der er tættest på den målretningstilgang, de har til hensigt at anvende. Hovedformålet med retningslinjerne er at præcisere roller og ansvarsområder for udbydere af sociale medier og de personer, de retter sig mod. Retningslinjerne identificerer derfor bl.a. de potentielle risici for den enkeltes frihedsrettigheder, de vigtigste aktører og deres roller, anvendelsen af centrale databeskyttelseskrav, såsom lovlighed og gennemsigtighed, og konsekvensanalyser vedrørende databeskyttelse samt centrale elementer af ordninger mellem udbydere af sociale medier og de personer, de retter sig mod. Desuden fokuserer retningslinjerne på de forskellige målretningsmekanismer, behandlingen af særlige kategorier af oplysninger og forpligtelsen for fælles dataansvarlige til at indføre en passende ordning i henhold til databeskyttelsesforordningens artikel 26. Plenarforsamlingen vil sende retningslinjerne ud til offentlig høring.

Databeskyttelsesrådet har oprettet en taskforce, som skal kigge nærmere på klager, der er indgivet som følge af Domstolen dom i Schrems II-sagen. Der er indgivet i alt 101 identiske klager til databeskyttelsesmyndigheder i EØS-landene over flere af landenes dataansvarlige i forbindelse med måden, hvorpå de anvender Google-/Facebook-tjenester, som omfatter videregivelse af personoplysninger. Navnlig de klagere, der blev repræsenteret af NGO'en NOYB, hævder, at Google/Facebook videregiver personoplysninger til USA på grundlag af EU-USA-privatlivsskjoldet eller standardkontraktbestemmelser, og at den dataansvarlige ifølge Domstolens seneste dom i sag C-311/18 ikke er i stand til at sikre tilstrækkelig beskyttelse af klagernes personoplysninger. Taskforcen vil analysere sagen og sikre et tæt samarbejde mellem medlemmerne af Databeskyttelsesrådet.

Som opfølgning på Domstolens dom i Schrems II-sagen og i tillæg til dokumentet med ofte stillede spørgsmål, der blev vedtaget den 23. juli, har Databeskyttelsesrådet oprettet en taskforce. Taskforcen vil udarbejde henstillinger, som skal hjælpe dataansvarlige og databehandlere i deres arbejde med at identificere og gennemføre passende supplerende foranstaltninger for at sikre tilstrækkelig beskyttelse i forbindelse med videregivelse af oplysninger til tredjelande.

Formand for Databeskyttelsesrådet Andrea Jelinek udtaler: "Det Europæiske Databeskyttelsesråd er godt klar over, at Schrems II-dommen pålægger dataansvarlige et vigtigt ansvar. Ud over udtalelsen og dokumentet med de ofte stillede spørgsmål, som vi offentliggjorde kort tid efter dommen, vil vi udarbejde henstillinger til hjælp for dataansvarlige og databehandlere i deres arbejde med at identificere og gennemføre passende supplerende juridiske, tekniske og organisatoriske foranstaltninger, der skal sikre et beskyttelsesniveau, der svarer til standarden "væsentlig overensstemmelse", ved overførsel af personoplysninger til tredjelande. Konsekvenserne af dommen er imidlertid vidtrækkende, og der er mange forskellige forhold, der gør sig gældende for overførsel af oplysninger til tredjelande. Vi kan derfor ikke finde en hurtig løsning, som kan bruges i alle situationer. Hver organisation skal evaluere sine egne databehandlingsaktiviteter og overførsler og træffe passende foranstaltninger."

Bemærkning til redaktører:
Bemærk, at alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, undergår de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.

EDPB_Press Release_2020_14