Bruxelles, 21 juni — Under sin plenarforsamling vedtog Databeskyttelsesrådet en endelig udgave af henstillingerne om supplerende foranstaltninger efter en forudgående offentlig høring. Henstillingerne blev først vedtaget i november 2020 efter EU-Domstolens afgørelse i Schrems II-sagen. De har til formål at bistå dataansvarlige og databehandlere, der fungerer som dataeksportører, i deres arbejde med at identificere og gennemføre passende supplerende foranstaltninger, hvor der er behov for det for at sikre tilstrækkelig beskyttelse i forbindelse med videregivelse af oplysninger til tredjelande.
Den endelige udgave af henstillingerne indeholder flere ændringer som følge af bemærkninger og feedback, der er modtaget under den offentlige høring, og sætter særligt fokus på praksis hos tredjelandes offentlige myndigheder.
Blandt de vigtigste ændringer er understregningen af, hvor vigtigt det er, at dataeksportører i deres juridiske vurderinger undersøger praksis hos offentlige myndigheder i tredjelande for at afgøre, om det pågældende lands lovgivning og/eller praksis — rent faktisk — indvirker på, hvor effektivt dataoverførselsværktøjet i databeskyttelsesforordningens artikel 46 fungerer. Dertil kommer muligheden for, at dataeksportører i deres vurderinger blandt andet og med visse forbehold kan tage hensyn til importørers praktiske erfaring og endelig præciseringen af, at lovgivningen i bestemmelsestredjelandet, som giver dets myndigheder adgang til de overførte oplysninger, selv uden importørens indgriben, også kan påvirke overførselsværktøjets effektivitet.
Med hensyn til Europa-Kommissionens netop offentliggjorte nye standardkontraktbestemmelser for internationale overførsler er henstillingerne nyttige, når man skal undersøge "Lokal lovgivning og praksis, der påvirker overholdelsen af bestemmelserne" (punkt 14 i de nye standardkontraktbestemmelser) og et eventuelt behov for at gennemføre supplerende foranstaltninger.
Formanden for Databeskyttelsesrådet, Andrea Jelinek, udtalte: "Virkningen af afgørelsen i Schrems II-sagen kan ikke undervurderes. Internationale datastrømme er allerede underlagt meget grundigere kontrol fra de tilsynsmyndigheder, der gennemfører undersøgelser på deres respektive niveauer. Databeskyttelsesrådets henstillinger har til formål at vejlede dataeksportører i på lovlig vis at overføre personoplysninger til tredjelande og samtidig garantere et beskyttelsesniveau for de overførte personoplysninger, som i det væsentlige svarer til det, der gives i EØS. Ved at afklare visse tvivlsspørgsmål, som interessenterne har givet udtryk for, og navnlig ved at fremhæve betydningen af at undersøge praksis hos offentlige myndigheder i tredjelande, kan vi gøre det lettere for dataeksportører at finde ud af, hvordan de skal vurdere deres videregivelse til tredjelande, og identificere og gennemføre effektive supplerende foranstaltninger, hvor der er behov for det. Databeskyttelsesrådet vil fortsat tage hensyn til virkningerne af afgørelsen i Schrems II -sagen og bemærkningerne fra interessenter i fremtidig vejledning."
Henstillingerne er tilgængelige i deres fulde ordlyd her: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
Databeskyttelsesrådet vedtog et brev til EU-institutionerne om aspekter af privatlivets fred og databeskyttelse som følge af en mulig digital euro. Databeskyttelsesrådet understreger i brevet, at en meget høj standard for beskyttelse af privatlivets fred og databeskyttelse er afgørende for at styrke slutbrugernes tillid og bør betragtes som et centralt element i forbindelse med indførelsen af en digital euro, idet det er en vigtig forudsætning for, at det bliver en succes. Der bør tages hensyn til sådanne spørgsmål i udformningsfasen. Databeskyttelsesrådet anbefaler desuden, at det EU-organ, der er ansvarligt for udformningen af projektet, foretager en databeskyttelsesvurdering på højt niveau. Databeskyttelsesrådet oplyser endvidere, at det er parat til at yde rådgivning til ECB eller andre EU-institutioner.
Endelig udpegede Databeskyttelsesrådet tre repræsentanter til ETIAS- rådet for rådgivning om grundlæggende rettigheder. Rådet har til opgave at vurdere virkningen af behandlingen af ansøgninger, og vil spille en vigtig rolle med hensyn til at sikre, at systemet overholder de grundlæggende rettigheder, navnlig med hensyn til privatlivets fred og beskyttelse af personoplysninger. Rådet vil bestå af repræsentanter fra Frontex, Den Europæiske Tilsynsførende for Databeskyttelse, Det Europæiske Databeskyttelsesråd og Agenturet for Grundlæggende Rettigheder (FRA).
På plenarmødet vedtog Databeskyttelsesrådet også en fælles udtalelse fra Databeskyttelsesrådet og Den Europæiske Tilsynsførende om udkastet til forordningen om kunstig intelligens. Der vil senere i dag blive offentliggjort en særskilt pressemeddelelse om dette emne.
Bemærkning til redaktører:
Alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, undergår de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.
EDPB_Press Release_2021_05