Det Europæiske Databeskyttelsesråd

Det Europæiske Databeskyttelsesråd — 30. plenarmøde: Det Europæiske Databeskyttelsesråds svar til NGO'er om ungarske dekreter og udtalelse om artikel 23 i den generelle forordning om databeskyttelse (GDPR)

Wednesday, 3 June, 2020
EDPB

Bruxelles, den 3. juni — På det 30. plenarmøde i Bruxelles vedtog Det Europæiske Databeskyttelsesråd en udtalelse om registreredes rettigheder i forbindelse med undtagelsestilstanden i visse medlemsstater. Udvalget vedtog også en skrivelse som svar på et brev fra Civil Liberties Union for Europe, Access Now og Ungarns forening for borgerlige rettigheder (HCLU) vedrørende den ungarske regerings dekret nr. 179/2020 af 4. maj.

Det Europæiske Databeskyttelsesråd minder om, at selv i disse usædvanlige tider skal de nødforanstaltninger, der gennemføres, stadig sikre beskyttelsen af personoplysninger og dermed bidrage til at sikre respekten for de centrale værdier, demokrati, retsstat og grundlæggende rettigheder, som Unionen bygger på.

Både i udtalelsen og skrivelsen gentager Databeskyttelsesrådet, at den generelle forordning om databeskyttelse fortsat finder anvendelse og gør det muligt at reagere effektivt på pandemien, samtidig med at de grundlæggende rettigheder og friheder beskyttes. Databeskyttelseslovgivningen muliggør allerede databehandling, som er nødvendig for at bidrage til bekæmpelsen af covid-19-pandemien.

I udtalelsen fremhæves hovedprincipperne for begrænsninger af registreredes rettigheder i forbindelse med den undtagelsestilstand, der hersker i visse medlemsstater:

  • Begrænsninger, der er af en så generel, omfattende eller indgribende karakter, at en grundlæggende rettighed mister sit væsentlige indhold, kan ikke begrundes.
  • Under særlige omstændigheder giver artikel 23 i den generelle forordning om databeskyttelse de nationale lovgivere mulighed for gennem en lovgivningsmæssig foranstaltning at begrænse rækkevidden af dataansvarliges og databehandleres forpligtelser og registreredes rettigheder, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at sikre vigtige mål af almen interesse i Unionen eller en medlemsstat, herunder navnlig folkesundheden.
  • Registreredes rettigheder udgør kernen i den grundlæggende ret til databeskyttelse, og når man læser og fortolker artikel 23 i den generelle forordning om databeskyttelse, bør man have for øje, at de som generel regel skal respekteres. Da begrænsninger er undtagelser fra den generelle regel, bør de kun anvendes i særlige tilfælde.
  • Begrænsninger skal være fastsat ved lov, og begrænsningerne bør være tilstrækkeligt klare til, at borgerne kan forstå, på hvilke betingelser registeransvarlige er bemyndiget til at anvende dem. Desuden skal begrænsninger være forudsigelige for de personer, der er omfattet af dem. Begrænsninger, der indføres for en periode, der ikke er nøje tidsbegrænset, og som anvendes med tilbagevirkende kraft, eller er underlagt ikke nærmere definerede betingelser, opfylder ikke kriteriet om forudsigelighed.
  • Alene det forhold, at der er tale om en pandemi eller en anden nødsituation er ikke tilstrækkelig til at retfærdiggøre nogen form for begrænsning af de registreredes rettigheder. Enhver begrænsning skal derimod klart bidrage til at beskytte et vigtigt mål af almen interesse for EU eller en medlemsstat.
  • Den undtagelsestilstand, der vedtages i forbindelse med en pandemi, er en retlig tilstand, der kan legitimere begrænsninger af registreredes rettigheder, forudsat at disse begrænsninger kun gælder, i det omfang det er strengt nødvendigt og forholdsmæssigt for at beskytte mål på folkesundhedsområdet. Begrænsningerne skal således være strengt begrænsede i omfang og tid, da den registreredes rettigheder kan begrænses, men ikke tilsidesættes. Desuden skal de garantier, der er fastsat i artikel 23, stk. 2, i den generelle forordning om databeskyttelse, finde fuld anvendelse.
  • Begrænsninger, der vedtages i forbindelse med en undtagelsestilstand, som ophæver eller udsætter udøvelsen af de registreredes rettigheder, og de forpligtelser, der påhviler registeransvarlige og registerførere, uden nogen klar tidsmæssig begrænsning, ville i praksis betyde en generel ophævelse af disse rettigheder og ikke være forenelig med kernen i de grundlæggende rettigheder og friheder.

Endvidere har Det Europæiske Databeskyttelsesråd meddelt, at det i løbet af de kommende måneder vil udstede retningslinjer for gennemførelsen af artikel 23 i den generelle forordning om databeskyttelse.

Bemærkning til redaktører:

Bemærk, at alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, undergår de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og gøres tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.