Databeskyttelsesrådet og Den Europæiske Tilsynsførende vedtager fælles udtalelse om datastyringsforordningen

10 March 2021 EDPB

Bruxelles, den 10. marts — Databeskyttelsesrådet og Den Europæiske Tilsynsførende har vedtaget en fælles udtalelse om forslaget til en datastyringsforordning. Datastyringsforordningen har til formål at fremme tilgængeligheden af data ved at øge tilliden til dataformidlere[1] og styrke datadelingsmekanismerne i hele EU. Datastyringsforordningen har navnlig til formål at fremme tilgængeligheden af data fra den offentlige sektor til videreanvendelse og udveksling af data mellem virksomheder samt muliggøre, at personoplysninger kan anvendes ved hjælp af en "formidler til deling af personoplysninger". Datastyringsforordningen har også til formål at gøre det muligt at anvende data til altruistiske formål.

Databeskyttelsesrådet og Den Europæiske Tilsynsførende anerkender datastyringsforordningens legitime mål om at forbedre betingelserne for datadeling i det indre marked. Samtidig spiller beskyttelsen af personoplysninger en afgørende og integreret rolle for tilliden til den digitale økonomi. Med denne fælles udtalelse opfordrer Databeskyttelsesrådet og Den Europæiske Tilsynsførende medlovgiverne til at sikre, at den fremtidige datastyringsforordning er i fuld overensstemmelse med EU's lovgivning om beskyttelse af personoplysninger og dermed fremmer tilliden til den digitale økonomi og opretholder det beskyttelsesniveau, som EU-retten tilvejebringer under tilsyn af EU-medlemsstaternes tilsynsmyndigheder.

Andrea Jelinek, formand for Databeskyttelsesrådet, udtaler: "EU's retlige rammer for databeskyttelse står ikke i vejen for udviklingen af dataøkonomien. De fremmer den tværtimod: tillid til enhver form for dataudveksling kan kun opnås gennem overholdelse af den eksisterende databeskyttelseslovgivning. Den generelle forordning om databeskyttelse er det fundament, som den europæiske dataforvaltningsmodel skal bygge på. Dette er årsagen til, at vi understreger behovet for at sikre overensstemmelse med den generelle forordning om databeskyttelse med hensyn til tilsynsmyndighedernes kompetence, de forskellige involverede aktørers roller, retsgrundlaget for behandling af personoplysninger, de nødvendige garantier og udøvelsen af de registreredes rettigheder."

Wojciech Wiewiórowski, Den Europæiske Tilsynsførende, udtaler: "Vi forstår dataenes voksende betydning for økonomien og samfundet som skitseret i den europæiske datastrategi. Med "big data følger der imidlertid et stort ansvar", og der skal derfor indføres passende databeskyttelsesgarantier. Den overordnede ramme for europæiske dataområder bør sikre, at gældende EU-ret om databeskyttelse ikke påvirkes."

Databeskyttelsesrådet og Den Europæiske Tilsynsførende mener, at EU-lovgiveren bør sikre, at datastyringsforordningens ordlyd klart og utvetydigt fastslår, at denne retsakt ikke vil påvirke beskyttelsesniveauet for enkeltpersoners personoplysninger, og at de rettigheder og forpligtelser, der er fastsat i databeskyttelseslovgivningen, heller ikke vil blive ændret.

Med hensyn til videreanvendelse af personoplysninger, som offentlige organer ligger inde med, anbefaler Databeskyttelsesrådet og Den Europæiske Tilsynsførende en tilpasning af datastyringsforordningen til de eksisterende regler om beskyttelse af personoplysninger, der er fastsat i GDPR og direktivet om åbne data. Det bør endvidere præciseres, at videreanvendelse af personoplysninger, som er i offentlige organers besiddelse, kun kan tillades, hvis den er baseret på EU-retten eller medlemsstaternes lovgivning. Sådanne love bør indeholde en liste over klare og forenelige formål, til hvilke yderligere behandling kan tillades på lovlig vis eller udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at sikre de mål, der er omhandlet i artikel 23 i GDPR.

Hvad angår leverandører af datadelingstjenester, fremhæver den fælles udtalelse behovet for at sikre enkeltpersoner forudgående information og kontrol under hensyntagen til principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger, gennemsigtighed og formålsbegrænsning. Desuden bør de nærmere bestemmelser for, hvordan sådanne tjenesteydere på effektiv vis kan bistå enkeltpersoner med at udøve deres rettigheder som registrerede, præciseres.

Med hensyn til dataaltruisme anbefaler Databeskyttelsesrådet og Den Europæiske Tilsynsførende, at datastyringsforordningen i højere grad definerer formålene af almen interesse for en sådan "dataaltruisme". Dataaltruisme bør organiseres på en sådan måde, at enkeltpersoner nemt kan give, men også tilbagetrække deres samtykke.

I lyset af de mulige risici for registrerede i forbindelse med leverandører af datadelingstjenesters eller dataaltruistiske organisationers behandling af deres personoplysninger mener Databeskyttelsesrådet og Den Europæiske Tilsynsførende ikke, at de erklæringsordninger for disse enheder, der er fastsat i datastyringsforordningen, fastsætter en tilstrækkeligt streng kontrolprocedure for sådanne tjenester. Databeskyttelsesrådet og Den Europæiske Tilsynsførende anbefaler derfor en undersøgelse af alternative procedurer, der indebærer en mere systematisk medtagelse af ansvarlighedsværktøjer, navnlig overholdelse af en adfærdskodeks eller certificeringsmekanisme.

Den fælles udtalelse indeholder også henstillinger om udpegelse af tilsynsmyndighederne som de vigtigste kompetente myndigheder med ansvar for kontrol med overholdelsen af datastyringsforordningens bestemmelser i samråd med andre relevante sektormyndigheder.

______________________________________
[1] Se begrundelsen til forslaget, s. 1.

Baggrundsoplysninger: Bemærk venligst, at alle dokumenter, der er vedtaget på Det Europæiske Databeskyttelsesråds plenarmøde, er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Det Europæiske Databeskyttelsesråds websted, når disse er afsluttet.

EDPB_Press Release_statement_2021_02