Bruxelles, d. 8. juli — Under sin plenarforsamling vedtog Databeskyttelsesrådet retningslinjer for adfærdskodekser som et redskab til overførsler. Hovedformålet med retningslinjerne er at præcisere anvendelsen af artikel 40, stk. 3, og artikel 46, stk. 2, litra e), i den generelle forordning om databeskyttelse. Disse bestemmelser fastsætter, at en adfærdskodeks, der er godkendt af en kompetent tilsynsmyndighed, og derefter erklæret generelt gyldig inden for EØS af Kommissionen, også kan overholdes og anvendes af dataansvarlige og databehandlere, der ikke er omfattet af den generelle forordning om databeskyttelse, med henblik på at sikre fornødne garantier inden for rammerne af overførsler af oplysninger uden for EU. Retningslinjerne supplerer Databeskyttelsesrådets retningslinjer 1/2019 for adfærdskodekser, som fastsætter den generelle ramme for vedtagelsen af adfærdskodekser.
Databeskyttelsesrådet vedtog en endelig udgave af retningslinjerne for virtuelle taleassistenter. Retningslinjerne skal give relevante interessenter anbefalinger om, hvordan de kan håndtere nogle af de mest relevante udfordringer forbundet med overholdelse af de regler, der gælder for virtuelle taleassistenter. Efter en offentlig høring blev retningslinjerne ajourført, så de afspejler de modtagne bemærkninger.
Databeskyttelsesrådet vedtog også efter en offentlig høring en endelig udgave af retningslinjerne for begreberne dataansvarlig og databehandler. Disse retningslinjer har til formål at præcisere grundlæggende begreber, såsom (fælles) dataansvarlig og databehandler. Ordlyden i den endelige udgave er fornyet og udbygget med yderligere præciseringer for at tage højde for kommentarer og feedback, der er modtaget under den offentlige høring.
Efter etableringen af TikTok i EU og lokaliseringen af TikToks hovedsæde i Irland for verserende sager vedrørende TikTok-appen besluttede Databeskyttelsesrådet at nedlægge sin TikTok-taskforce. Denne taskforce blev oprettet for at koordinere eventuelle tiltag fra tilsynsmyndigheder i EØS og skaffe et mere omfattende overblik over TikToks databehandling og praksis i EU. Da taskforcen blev oprettet, havde TikTok intet hovedsæde i EU, og formålet med taskforcen var at lette udvekslingen af oplysninger mellem tilsynsmyndigheder. Nu finder one-stop-shop-proceduren anvendelse, og den irske tilsynsmyndighed (databeskyttelseskoordinator) er blevet udpeget som ledende myndighed med ansvar for sagerne.
De tilsynsmyndigheder, der deltager i taskforcen, vil derfor anvende de værktøjer, der er udvalgt inden for rammerne af samarbejdsmekanismen, samtidig med at de også tager hensyn til artikel 64, stk. 2, i den generelle forordning om databeskyttelse og Databeskyttelsesrådets udtalelse 8/2019 om en tilsynsmyndigheds kompetence i tilfælde af en ændring af omstændighederne vedrørende hovedvirksomheden eller den eneste etablering. Flere tilsynsmyndigheder har allerede overdraget deres undersøgelser til databeskyttelseskoordinatoren.
Tilsynsmyndighederne vil få lejlighed til at drøfte spørgsmålet i Databeskyttelsesrådet, og navnlig i ekspertundergruppen om håndhævelse.
Det er vigtigt at bemærke, at Databeskyttelsesrådet kun kan træffe foranstaltninger, hvis sammenhængsmekanismen i artikel 63 i den generelle forordning om databeskyttelse udløses. Efter at have truffet foreløbige foranstaltninger i henhold til artikel 66, stk. 1, i den generelle forordning om databeskyttelse og efter at have modtaget garantier fra TikTok om, at de anvendes, herunder tilsagn fra TikTok i forhold til deres behandlingsaktiviteter, besluttede den italienske tilsynsmyndighed, at der ikke længere er behov for en hasteafgørelse fra Databeskyttelsesrådet.
Endelig drøftede Databeskyttelsesrådet mulige emner for de første koordinerede håndhævelsestiltag. Dette skal ses i forlængelse af Databeskyttelsesrådets beslutning af 20. oktober 2020 om etablering af en ramme for koordineret håndhævelse. Databeskyttelsesrådet besluttede, at det første tiltag kommer til at vedrøre offentlige organers anvendelse af cloudbaserede tjenester, og der vil nu blive arbejdet videre med at præcisere detaljerne og omfanget i de kommende måneder.
Bemærkning til redaktører:
Alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, undergår de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.