Bryssel den 16 december – Europeiska dataskyddsstyrelsen samlades för sin 43:e plenarsession den 15 december. Under mötet diskuterades en rad olika frågor.
Europeiska dataskyddsstyrelsen antog sin strategi för 2021–2023. I strategin fastställs dataskyddsstyrelsens strategiska mål grupperade kring fyra pelare, samt tre nyckelåtgärder för varje pelare som ska bidra till att målen uppnås. De fyra pelarna:
• Påskyndad harmonisering och underlättad efterlevnad.
• Understöd för en verksam tillsyn och ett effektivt samarbete mellan nationella tillsynsmyndigheter.
• En strategi för ny teknik som bygger på de grundläggande rättigheterna.
• Den globala dimensionen.
Strategin ska bl.a. genomföras genom ett arbetsprogram som kommer att innehålla närmare uppgifter om Europeiska dataskyddsstyrelsens åtgärder. Arbetsprogrammet ska antas under våren 2021.
Dataskyddsstyrelsen har som en del i sin strategi för 2021–2023 beslutat att som ett pilotprojekt inrätta en stödpool med experter. Syftet är att stötta ledamöterna med expertis som kan behövas för utredningar och tillsyn, och att främja samarbete och solidaritet ledamöterna emellan genom att dela, stärka och komplettera fackkunskap och bidra till de behov som finns i den praktiska verksamheten.
Dataskyddsstyrelsen utfärdade ett uttalande i slutet av övergångsperioden för brexit där man beskriver vilka konsekvenser övergångsperiodens upphörande får för personuppgiftsansvariga och personuppgiftsbiträden. Dataskyddsstyrelsen underströk särskilt frågan om överföring av uppgifter till ett land utanför EU och konsekvenserna för tillsynsområdet och systemet med en gemensam kontaktpunkt. Övergångsperioden för brexit – under vilken den brittiska tillsynsmyndigheten fortfarande deltog i Europeiska dataskyddsstyrelsens administrativa samarbete – löpte ut i slutet av 2020. Dataskyddsstyrelsen antog vidare ett informationsmeddelande om uppgiftsöverföring enligt dataskyddsförordningen efter övergångsperioden.
Dataskyddsstyrelsen antog riktlinjer för begränsningar av registrerades rättigheter enligt artikel 23 i dataskyddsförordningen. Riktlinjerna syftar till att påminna om villkoren för att tillämpa sådana begränsningar mot bakgrund av EU-stadgan om de grundläggande rättigheterna och dataskyddsförordningen. De innehåller en grundlig analys av vilka kriterier som gäller för att få tillämpa begränsningar, vilka bedömningar som måste göras, hur registrerade kan utöva sina rättigheter efter det att begränsningarna har upphävts och följderna om artikel 23 i dataskyddsförordningen överträds. Dataskyddsstyrelsen erinrar om att varje begränsning måste ske med respekt för andemeningen i den rättighet som begränsas, och att begränsningar som är så omfattande och inskränkande att en grundläggande rättighet förlorar sin mening inte kan motiveras. I riktlinjerna analyseras också hur lagstiftningsåtgärder varigenom begränsningar införs måste uppfylla kravet på förutsebarhet, och en närmare beskrivning ges av de skäl för begränsningar som förtecknas i artikel 23.1 i dataskyddsförordningen och de rättigheter och skyldigheter som kan begränsas. En närmare förklaring ges också av hur begränsningarnas nödvändighet och proportionalitet bedöms enligt artikel 23.1 i dataskyddsförordningen. Ett åtta veckors offentligt samråd kommer att hållas om dessa riktlinjer.
Efter offentligt samråd antog dataskyddsstyrelsen en slutlig version av riktlinjerna för samspelet mellan det andra betaltjänstdirektivet (PSD2) och dataskyddsförordningen. De riktlinjerna syftar till att ge ytterligare vägledning om dataskyddsaspekterna i samband med PSD2, särskilt om förhållandet mellan relevanta bestämmelser i dataskyddsförordningen och PSD2. Ett avsnitt om förebyggande av bedrägerier infördes för att ta hänsyn till synpunkter som inkommit under det offentliga samrådet.
Dataskyddsstyrelsen antog också en slutlig version av riktlinjerna om artikel 46.2 a och 46.3 b i förordning 2016/679 för överföringar av personuppgifter mellan offentliga myndigheter och organ i och utanför EES. I dessa artiklar behandlas överföring av personuppgifter från myndigheter eller organ inom EES till offentliga organ i tredjeländer utan beslut om adekvat skyddsnivå. Ordalydelsen och den rättsliga motiveringen anpassades för att ta hänsyn till synpunkter och återkoppling som inkommit under det offentliga samrådet, och nödvändiga ändringar infördes med beaktande av Schrems II-målet.
Dataskyddsstyrelsen antog även ett uttalande om skyddet av personuppgifter som behandlas i samband med åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism. Dataskyddsstyrelsen anser att det är av yttersta vikt att åtgärderna mot penningtvätt är förenliga med rätten till integritet och uppgiftsskydd enligt artiklarna 7 och 8 i EU-stadgan om de grundläggande rättigheterna, principerna om nödvändigheten av sådana åtgärder i ett demokratiskt samhälle och deras proportionalitet samt EU-domstolens rättspraxis. Europeiska kommissionen ombeds därför att i ett tidigt skede involvera dataskyddsstyrelsen när ny lagstiftning mot penningtvätt utarbetas och dataskyddsstyrelsen förklarar sig redo att bidra till diskussionerna i rådet och Europaparlamentet och att i god tid konsulteras av europeiska eller internationella regleringsorgan.
Dataskyddsstyrelsen antog slutligen ett yttrande enligt artikel 64 om utkastet till beslut om de bindande företagsbestämmelserna för den personuppgiftsansvarige för Equinix som den nederländska tillsynsmyndigheten lagt fram för dataskyddsstyrelsen. Dataskyddsstyrelsen vill påminna om att artikel 29-gruppens arbetsdokument 256 och 257* håller på att revideras och att organisationer med bindande företagsbestämmelser kommer att behöva ändra dessa i enlighet med dessa revideringar.
Meddelande till redaktörerna:
Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarsessioner är föremål för nödvändiga kontroller av rättsliga aspekter, språk och formatering och kommer att läggas ut på dataskyddsstyrelsens webbplats när dessa kontroller har utförts.
* Artikel 29-gruppens arbetsdokument 256 och 257 finns här:
WP256: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109
WP257: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110
EDPB_Press Release_2020_20