Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) antar ett gemensamt yttrande om dataförvaltningsakten

10 March 2021

Bryssel den 10 mars – Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen antog ett gemensamt yttrande om förslaget till dataförvaltningsakten. Syftet med dataförvaltningsakten är att främja att data görs tillgängliga genom att man ökar förtroendet för dataförmedlarna[1] och stärker mekanismerna för datadelning i hela EU. Dataförvaltningsakten har särskilt för avsikt att främja tillgången till data från den offentliga sektorn för vidareutnyttjande, delning av data mellan företag och möjliggöra användning av personuppgifter med hjälp av en ”förmedlare för delning av personuppgifter”. Dataförvaltningsakten strävar också efter att göra det möjligt att använda uppgifter för altruistiska ändamål.

Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen erkänner dataförvaltningsaktens legitima mål att förbättra villkoren för datadelning på den inre marknaden. Samtidigt är skyddet av personuppgifter en viktig och integrerad del av förtroendet för den digitala ekonomin. Med detta gemensamma yttrande uppmanar Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen medlagstiftarna att se till att den framtida dataförvaltningsakten är helt i linje med EU:s lagstiftning om skydd av personuppgifter, och på så sätt främja förtroendet för den digitala ekonomin och upprätthålla den skyddsnivå som EU-lagstiftningen ger under överinseende av EU-medlemsstaternas tillsynsmyndigheter.

 – EU:s rättsliga ram för uppgiftsskydd hindrar inte utvecklingen av dataekonomin. Tvärtom är det så att förtroende för alla typer av datadelning endast kan uppnås genom respekt för befintlig dataskyddslagstiftning. Den allmänna dataskyddsförordningen är den grund på vilken den europeiska modellen för dataförvaltning måste byggas. Därför understryker vi behovet av att säkerställa överensstämmelse med den allmänna dataskyddsförordningen när det gäller tillsynsmyndigheternas behörighet, de olika berörda aktörernas roller, den rättsliga grunden för behandling av personuppgifter, nödvändiga skyddsåtgärder och de registrerades utövande av sina rättigheter, säger Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen.

– Vi förstår att data blir allt viktigare för ekonomin och samhället såsom beskrivs i den europeiska datastrategin. Med ”stordata följer dock ett stort ansvar” och därför måste lämpliga uppgiftsskyddsgarantier införas. Den övergripande ramen för europeiska dataområden bör säkerställa att regelverket om uppgiftsskydd inte påverkas, säger Wojciech Wiewiórowski, Europeiska datatillsynsmannen.

Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen anser att EU:s lagstiftare bör se till att det tydligt och otvetydigt anges i lydelsen till dataförvaltningsakten att den akten inte kommer att påverka nivån på skyddet av enskildas personuppgifter och att inga rättigheter och skyldigheter som fastställs i dataskyddslagstiftningen kommer att ändras.

När det gäller vidareutnyttjande av personuppgifter som innehas av myndigheter rekommenderar Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen att dataförvaltningsakten anpassas till de befintliga bestämmelserna om skydd av personuppgifter i den allmänna dataskyddsförordningen och till direktivet om öppna data. Vidare bör det klargöras att vidareutnyttjande av personuppgifter som innehas av myndigheter endast får tillåtas om det grundar sig på EU:s eller medlemsstaternas lagstiftning. Sådana lagar bör innehålla en förteckning över klart förenliga ändamål för vilka ytterligare behandling kan tillåtas lagligen eller som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23 i dataskyddsförordningen.

När det gäller leverantörer av datadelningstjänster betonas i det gemensamma yttrandet behovet av att säkerställa förhandsinformation och kontroller för enskilda personer, med beaktande av principerna om inbyggt dataskydd och öppenhet och begränsning av ändamål.  Dessutom bör det klargöras hur sådana tjänsteleverantörer effektivt skulle hjälpa enskilda personer att utöva sina rättigheter som registrerade.

När det gäller dataaltruism rekommenderar Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen att dataförvaltningsakten bör definiera ändamålen med sådan ”dataaltruism” av allmänt intresse bättre. Dataaltruism bör organiseras på ett sådant sätt att enskilda personer enkelt kan ge, men också dra tillbaka sitt samtycke.

Mot bakgrund av de möjliga riskerna för registrerade när deras personuppgifter kan behandlas av leverantörer av datadelningstjänster eller dataaltruismorganisationer anser Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen att de automatiska registreringssystemen för dessa enheter, som fastställs i dataförvaltningsakten, inte innehåller ett tillräckligt strikt prövningsförfarande som är tillämpligt på sådana tjänster. Därför rekommenderar Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen att man undersöker alternativa förfaranden som möjliggör ett mer systematiskt införande av ansvarighetsverktyg, särskilt efterlevnad av en uppförandekod eller certifieringsmekanism.

Det gemensamma yttrandet innehåller också rekommendationer om att utse tillsynsmyndigheterna som de viktigaste behöriga myndigheterna för kontroll av efterlevnaden av bestämmelserna i dataförvaltningsakten, i samråd med andra relevanta sektorsmyndigheter.

 

______________________________________
[1] Se motiveringen till förslaget, s. 1

Meddelande till redaktörerna: Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarsessioner är föremål för nödvändiga kontroller av rättsliga aspekter, språk och formatering och kommer att läggas ut på dataskyddsstyrelsens webbplats när dessa kontroller har utförts.

EDPB_Press Release_statement_2021_02