Det Europæiske Databeskyttelsesråd

Det Europæiske Databeskyttelsesråd — 31. plenarmøde: Oprettelse af en taskforce om TikTok, svar til medlemmer af Europa-Parlamentet om retshåndhævende myndigheders brug af Clearview AI, svar til ENISA-Rådgivningsgruppen, svar på NOYB's åbne brev

Wednesday, 10 June, 2020
EDPB

Bruxelles, den 10. juni — Databeskyttelsesrådet besluttede på sit 31. plenarmøde at oprette en taskforce, der får til opgave at koordinere eventuelle tiltag og skaffe et mere omfattende overblik over TikToks behandling af personoplysninger og deres praksis desangående i EU, og vedtog et brev om retshåndhævende myndigheders brug af Clearview AI. Derudover vedtog Databeskyttelsesrådet et svar til ENISA-Rådgivningsgruppen og et brev som svar på et åbent brev fra NOYB.

Databeskyttelsesrådet meddelte, at det havde besluttet at oprette en taskforce med det formål at koordinere eventuelle tiltag og skaffe et mere omfattende overblik over TikToks behandling af personoplysninger og deres praksis desangående i EU.

Som svar på Europa-Parlamentsmedlem Körners anmodning vedrørende TikTok anfører Databeskyttelsesrådet, at det allerede har udstukket retningslinjer og fremsat henstillinger, der bør tages i betragtning af alle dataansvarlige, hvis behandling er underlagt GDPR, navnlig i forbindelse med videregivelse af personoplysninger til tredjelande, materielle og proceduremæssige betingelser for offentlige myndigheders adgang til personoplysninger eller det territoriale anvendelsesområde for GDPR, især i relation til behandling af mindreåriges oplysninger. Databeskyttelsesrådet minder om, at GDPR gælder for dataansvarliges behandling af personoplysninger, også selv om disse ikke er etableret i EU, hvor behandlingen vedrører udbydelsen af varer eller tjenesteydelser til registrerede i EU.

I sit svar til medlemmerne af Europa-Parlamentet vedrørende Clearview AI delte Databeskyttelsesrådet sin bekymring over udviklingen inden for teknologier til ansigtsgenkendelse. Databeskyttelsesrådet minder om, at de retshåndhævende myndigheder i henhold til direktiv (EU) 2016/680 (retshåndhævelsesdirektivet) kan behandle biometriske oplysninger med det formål entydigt at identificere en fysisk person alene under overholdelse af de strenge betingelser i artikel 8 og 10 i retshåndhævelsesdirektivet.

Databeskyttelsesrådet er i tvivl om, hvorvidt EU-retten eller medlemsstaternes nationale lovgivning giver retsgrundlag for at benytte en tjeneste som den, der udbydes af Clearview AI. Derfor kan lovligheden af retshåndhævende myndigheders brug i EU ikke fastslås på det nuværende grundlag, med forbehold for fremtidige eller igangværende undersøgelser.

Med forbehold for yderligere analyse baseret på nye elementer er det derfor Databeskyttelsesrådets opfattelse, at de retshåndhævende myndigheders brug af en tjeneste som f.eks. Clearview AI i Den Europæiske Union i den foreliggende situation sandsynligvis ikke ville være forenelig med EU's databeskyttelsesordning.

Endelig henviser Databeskyttelsesrådet til sine retningslinjer for behandling af personoplysninger ved hjælp af videoanordninger og udmelder, at der om kort tid vil blive iværksat en undersøgelse af retshåndhævende myndigheders brug af teknologi til ansigtsgenkendelse.

Som svar på en skriftlig anmodning fra Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) om, at Databeskyttelsesrådet udpeger en repræsentant til ENISA-Rådgivningsgruppen, udnævnte bestyrelsen Gwendal Le Grand, vicegeneralsekretær i CNIL, til repræsentant. Rådgivningsgruppen bistår ENISA's administrerende direktør med at udarbejde et årligt arbejdsprogram og sikre kommunikation med de relevante interessenter.

Databeskyttelsesrådet vedtog et svar på et åbent brev fra NOYB om samarbejde mellem tilsynsmyndighederne og omkring sammenhængsprocedurerne. I sit brev anfører Databeskyttelsesrådet, at det har arbejdet vedvarende på at forbedre såvel samarbejdet tilsynsmyndighederne imellem som sammenhængsprocedurerne. Databeskyttelsesrådet er klar over, at der er problemer, der kræver en indsats, bl.a. forskellene i national retspleje og praksis samt den tid og de ressourcer, der kræves for at afvikle grænseoverskridende sager. Databeskyttelsesrådet gentager, at det er fast besluttet på at finde løsninger, når disse ligger inden for dets kompetence.

Bemærkning til redaktører:
Bemærk, at alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, undergår de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og gøres tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.

EDPB_Press Release_2020_10