Bryssel den 3 juni – Under sitt 30:e plenarmöte antog Europeiska dataskyddsstyrelsen ett uttalande om registrerades rättigheter i samband med undantagstillståndet i vissa medlemsstater. Dataskyddsstyrelsen antog också en skrivelse som svar på en skrivelse från Liberties Union for Europe, Access Now och Hungarian Civil Liberties Union (HCLU) om den ungerska regeringens dekret 179/2020 av den 4 maj.
Dataskyddsstyrelsen påminner om att även i dessa speciella tider måste skyddet av personuppgifter upprätthållas vid alla nödåtgärder och bidra till respekten för de övergripande värdena demokrati, rättsstatsprincipen och grundläggande rättigheter som unionen bygger på.
Både i uttalandet och skrivelsen upprepar dataskyddsstyrelsen att den allmänna dataskyddsförordningen fortfarande gäller och gör det möjligt att agera effektivt mot pandemin samtidigt som de grundläggande fri- och rättigheterna skyddas. Dataskyddslagstiftningen möjliggör redan databehandling som krävs för att bidra till kampen mot covid-19-pandemin.
I uttalandet framhävs huvudprinciperna för begränsningarna av registrerades rättigheter i samband med det undantagstillstånd som råder i vissa medlemsstater.
- Begränsningar som genom sin allmänna, omfattande eller inkräktande karaktär gör att en grundläggande rättighet förlorar sitt grundläggande innehåll kan inte motiveras.
- Under vissa förhållanden ger artikel 23 i den allmänna dataskyddsförordningen nationella lagstiftare möjlighet att genom en lagstiftningsåtgärd begränsa tillämpningsområdet för den personuppgiftsansvariges eller personuppgiftsbiträdets skyldigheter och registrerades rättigheter, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa viktiga mål av generellt allmänt intresse i unionen eller en medlemsstat, däribland särskilt folkhälsa.
- Registrerades rättigheter står i centrum för den grundläggande rätten till dataskydd, och när man tolkar och läser artikel 23 i den allmänna dataskyddsförordningen bör man ha i åtanke att dessa rättigheter bör tillämpas som en allmän regel. Eftersom begränsningar utgör undantag från den allmänna regeln bör de endast tillämpas under begränsade omständigheter.
- Begränsningarna måste föreskrivas i lag och denna lag bör vara tillräckligt tydlig för att medborgarna ska kunna förstå under vilka förhållanden personuppgiftsansvariga har rätt att använda dem. Dessutom måste begränsningarna vara förutsebara för personer som omfattas av dem. Begränsningar som införs utan tydlig tidsgräns, som gäller retroaktivt eller vars villkor inte definierats närmare uppfyller inte kriteriet om förutsebarhet.
- Förekomsten av en pandemi eller annan nödsituation är i sig inte ett tillräckligt skäl för att föreskriva någon form av begränsning av registrerades rättigheter. Varje begränsning måste tvärtom tydligt bidra till att säkerställa ett viktigt mål av allmänt intresse för EU eller en medlemsstat.
- Undantagstillståndet som införts i samband med pandemin är ett rättsligt villkor som kan legitimera begränsningar av registrerades rättigheter, förutsatt att dessa begränsningar endast gäller om det är absolut nödvändigt och proportionerligt för att säkerställa folkhälsomålet. Begränsningarna måste därför vara strikt begränsade i omfattning och tid eftersom registrerades rättigheter kan begränsas men inte förvägras. Dessutom måste de garantier som föreskrivs i artikel 23.2 i den allmänna dataskyddsförordningen tillämpas fullt ut.
- Begränsningar som antas i samband med ett undantagstillstånd och som upphäver eller skjuter upp tillämpningen av registrerades rättigheter och personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter, utan någon tydlig tidsbegränsning, skulle i praktiken innebära att dessa rättigheter upphävs helt och skulle inte vara förenliga med andemeningen i de grundläggande rättigheterna och friheterna.
Vidare har dataskyddsstyrelsens tillkännagett att den under de närmaste månaderna kommer att utfärda riktlinjer för tillämpningen av artikel 23 i den allmänna dataskyddsförordningen.
Meddelande till redaktörerna:
Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarmöten är föremål för nödvändiga kontroller av rättsliga aspekter, språk och formatering och kommer att läggas ut på dataskyddsstyrelsens webbplats när dessa kontroller har utförts