Bruxelles, den 11. november — Under sin 41. plenarforsamling vedtog Databeskyttelsesrådet henstillinger om foranstaltninger, der supplerer overførselsværktøjer, for at sikre overholdelse af EU's niveau for beskyttelse af personoplysninger, samt henstillinger om de europæiske væsentlige garantier for overvågningsforanstaltninger.
Begge dokumenter blev vedtaget som opfølgning på EU-Domstolens afgørelse i "Schrems II"-sagen. Som følge af afgørelsen af 16. juli skal dataansvarlige, der er underlagt standardkontraktbestemmelser, i hvert enkelt tilfælde og, hvor det er relevant, i samarbejde med modtageren af oplysningerne i tredjelandet kontrollere, om lovgivningen i tredjelandet sikrer et niveau for beskyttelse af de overførte personoplysninger, der i det væsentlige svarer til det niveau, der er sikret i Det Europæiske Økonomiske Samarbejdsområde (EØS). EU-Domstolen tillod eksportører at tilføje supplerende foranstaltninger til standardkontraktbestemmelserne for at sikre en effektiv overholdelse af dette niveau af beskyttelse, hvis de beskyttelsesforanstaltninger, der er indeholdt i standardkontraktbestemmelserne, ikke er tilstrækkelige.
Henstillingerne har til formål at bistå dataansvarlige og databehandlere, der fungerer som dataeksportører, i deres forpligtelse til at identificere og gennemføre passende supplerende foranstaltninger, hvor der er behov for det for at sikre et i det væsentlige tilsvarende niveau for beskyttelse af de oplysninger, de overfører til tredjelande. I den forbindelse tilstræber Databeskyttelsesrådet en konsekvent anvendelse af databeskyttelsesforordningen og Domstolens afgørelse i hele EØS.
Formanden for Databeskyttelsesrådet, Andrea Jelinek, har udtalt: "Databeskyttelsesrådet er særdeles opmærksomt på Schrems II-afgørelsens indvirkning på tusindvis af virksomheder i EU og det store ansvar, den pålægger dataeksportørerne. Databeskyttelsesrådet håber, at disse henstillinger kan hjælpe dataeksportørerne med at identificere og gennemføre effektive supplerende foranstaltninger, hvor der er behov for det. Vores mål er at muliggøre lovlige overførsler af personoplysninger til tredjelande, samtidig med at det garanteres, at de overførte oplysninger sikres et niveau af beskyttelse, der i det væsentlige svarer til niveauet af beskyttelse i EØS."
Henstillingerne indeholder en køreplan for de skridt, som dataeksportørerne skal tage for at finde ud af, om de skal træffe supplerende foranstaltninger for at kunne overføre oplysninger uden for EØS i overensstemmelse med EU-retten, og hjælpe dem med at identificere effektive foranstaltninger. For at hjælpe dataeksportørerne indeholder henstillingerne også en ikkeudtømmende liste over eksempler på supplerende foranstaltninger og nogle af de betingelser, som de ville kræve for at være effektive.
I sidste ende er eksporteksportørerne dog ansvarlige for at foretage den konkrete vurdering i forbindelse med overførslen, tredjelandets lovgivning og det overførselsværktøj, de anvender. Dataeksportører skal udvise fornøden omhu og dokumentere deres proces grundigt, da de holdes ansvarlige for de beslutninger, de træffer på dette grundlag, i overensstemmelse med princippet om ansvarlighed i databeskyttelsesforordningen. Desuden bør dataeksportører vide, at det måske ikke er muligt at gennemføre tilstrækkelige supplerende foranstaltninger i alle tilfælde.
Henstillingerne om de supplerende foranstaltninger vil blive sendt til offentlig høring. De vil finde anvendelse umiddelbart efter offentliggørelsen.
Derudover vedtog Databeskyttelsesrådet henstillinger om europæiske væsentlige garantier for overvågningsforanstaltninger. Henstillingerne om de europæiske væsentlige garantier supplerer henstillingerne om supplerende foranstaltninger. Henstillingerne vedrørende de europæiske væsentlige garantier giver dataeksportører elementer til at afgøre, om de retlige rammer for de offentlige myndigheders adgang til oplysninger med henblik på overvågning i tredjelande kan betragtes som et begrundet indgreb i retten til privatlivets fred og beskyttelse af personoplysninger og derfor ikke berører forpligtelserne vedrørende det i databeskyttelsesforordningens artikel 46 omhandlede dataoverførselsværktøj, som dataeksportøren og -importøren er afhængige af.
Formanden tilføjede: "Konsekvenserne af Schrems-II-dommen omfatter alle overførsler til tredjelande. Der er derfor ingen hurtige løsninger eller én standardløsning for alle overførsler, da dette ville overse de mange forskellige situationer, som dataeksportører står over for. Dataeksportører skal vurdere deres databehandlingsoperationer og overførsler og træffe effektive foranstaltninger under hensyntagen til den retlige orden i de tredjelande, som de overfører eller har til hensigt at overføre oplysninger til."
Tilsynsmyndighederne for databeskyttelse i EØS vil fortsat koordinere deres indsats i Databeskyttelsesrådet for at sikre en konsekvent anvendelse af EU's databeskyttelseslovgivning.
Bemærkning til redaktører:
Bemærk, at alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, undergår de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.
EDPB_Press Release_2020_18